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新 一 轮 科技 革命 方兴未艾 ,不 断 推 陈 出 新 的 信息 技术 (IT) 正 越 来 越 迅 
PE Hb ,深刻 地 影响 着 人 们 的 工作 与 生活 。IT 正 重 新 塑造 并 雕琢 着 社会 经 济 
的 整体 全 貌 与 细节 ,将 人 类 社会 带 入 了 一 个 全 新 的 时 代 。 

新 华 三 集团 ,作为 IT 产业 的 一 员 , 时 刻 站 在 科技 研发 与 推进 IT 发 展 
的 前 沿 ,将 最 新 的 信息 技术 创新 地 应 用 于 各 行业 实践 ,为 这 个 全 新 的 时 代 做 
出 自己 的 贡献 。 随 着 新 华 三 集团 的 产品 和 解决 方案 不 断 地 应 用 于 “ 百 行 百 
业 ”, 新 华 三 也 积累 了 越 来 越 多 的 具有 示范 效应 的 行业 最 佳 实践 ,形成 了 一 
大 批 被 业界 喻 为 “教科 书 ” 般 的 优秀 应 用 案例 。 我 相信 ,您 使 用 的 每 一 次 信 
息 服 务 都 可 能 有 新 华 三 集团 在 背后 默默 的 支持 。 

作为 有 影响 力 \ 有 社会 担当 的 IT 企业 ,我 们 有 责任 和 义务 将 新 华 三 的 
成 熟 经 验 推广 到 全 社会 ,为 信息 化 建设 做 出 自己 的 贡献 ,履行 自己 的 社会 责 
任 。 在 合作 伙伴 .客户 高校 及 广大 IT 爱好 者 的 建议 与 要 求 下 ,我 们 通过 
新 华 三 集团 下 属 的 新 华 三 大 学 将 这 些 实践 智慧 与 宝贵 经 验 汇 集成 书 , 正 式 
出 版 ,与 众 共享 ,让 全 社会 都 能 分 享 到 新 华 三 专家 十 多 年 的 智慧 成 果 , 为 我 
国 的 IT 人 才 培 养 与 IT 实践 发 展 诚 尽 一 份 心力 。 

《 根 叔 的 云图 一 一 网 络 故障 大 排查 》 就 是 这 一 系列 分 享 的 第 一 本 书 , 也 
可 能 是 目前 业界 唯一 一 本 网 络 运 维 操作 宝典 。 该 书 采 用 了 新 颖 、 独 创 的 “ 云 
图 ?方式 ,将 非常 复杂 的 IT 运 维 技术 总 结 成 思维 导 图 ,以 清晰 .富有 逻辑 、 
易于 掌握 的 方式 呈现 出 来 ,把 复杂 的 事情 简单 化 ,给 技术 人 员 “ 授 人 以 渔 ”。 

在 此 ,我 寄 望 广大 读者 能 从 本 书 中 感受 到 新 华 三 众多 技术 专家 对 技术 
前 沿 的 天 生 痴 迷 、 对 应 用 实践 的 倾情 投入 ; 感受 到 每 一 位 新 华 三 人 对 于 通 
过 技术 创新 与 精准 服务 ,进而 推动 百 行 百业 不 断 发 展 的 热 望 与 执着 ; 感受 
到 新 华 三 作为 中 国 IT 领军 企业 ,为 整个 IT 产业 的 发 展 、 社 会 经 济 的 进步 
所 付出 的 不 懈 努 力 ! 
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随 着 互联 网 技术 的 广泛 普及 和 应 用 ,通信 及 电子 信息 产业 在 全 球 迅猛 发 展 起 来 ,从 而 也 带 
来 了 网 络 技术 人 才 需 求 量 的 不 断 增 加 ,网 络 技术 教育 和 人 才 培 养 成 为 高 等 院 校 一 项 重要 的 战 
略 任务 。 

H3C 网 络 学院 C(HNC) 主要 面向 高 校 在 校 学 生 开展 网 络 技术 培训 ,培训 使 用 H3C 网 络 学 
院 培训 教程 。HNC 教程 包括 4 中 小 型 网 络 构建 与 维护 兴 路 由 交换 技术 兴 IPv6 技术 等。 培训 
课程 高 度 强调 实用 性 和 提高 学 生动 手 操作 的 能 力 。 

作为 H3C 网 络 学 院 课程 的 参考 书 ,( 根 叔 的 云图 一 一 网 络 故障 大 排查 ?侧重 于 对 学 生 网 络 
故障 排查 能 力 的 培养 。 本 书 适合 以 下 几 类 读者 。 

IT 技术 人 员 : 本 书 能 够 使 IT 技术 人 员 根 据 故 障 现象 快速 排查 H3C 设备 故障 。 

职业 院 校 在 校 学 生 : 本 书 可 作为 H3C 网 络 学 院 课程 的 教学 辅助 教材 ,也 可 作为 IT 相关 
专业 学 生 的 自学 参考 书 。 

IT 技术 爱好 者 : 本 书 可 以 作为 所 有 对 IT 技术 感 兴趣 的 爱好 者 学 习 IT 技术 、 提 高 故障 排 
查 能 力 的 自学 参考 书籍 。 

本 书 主要 以 贴近 实际 网 络 的 动手 实验 为 主 ,内 容 由 浅 入 深 , 配 合 通俗 易 懂 深 入 浅 出 的 知识 
介绍 。 这 充分 突显 了 H3C 网 络 学 院 系列 教程 的 特点 一 一 专业 务实 .学 以 致 用 。 本 书 经 过 精心 
设计 ,便于 知识 的 连贯 和 理解 ,学 员 可 以 在 较 短 的 学 时 内 完成 全 部 内 容 的 学 习 。 本 书 所 有 内 容 
都 遵循 国际 标准 ,从 而 保证 了 良好 的 开放 性 和 兼容 性 。 

全 书 共 10 章 。 

第 1 章 公共 协议 

本 章 介 绍 了 公共 协议 的 故障 排查 思路 ,包括 静态 路 由 、RIPv2.OSPF、.BGP IGMP, MPLS 
VPN.MSTP.RSTP 等 。 

第 2 章 路 由 技术 

本 章 介绍 了 路 由 相关 技术 的 故障 排查 思路 ,包括 串口 El 接口 .3G 接口 等 接口 故障 排查 ， 
包括 DHCP, NAT 等 IP 业务 故障 排查 ,包括 PPP.HDLC.DCC.FR 等 广域网 接 入 技术 故障 排 
查 , 包 括 GRE、L2TP、DVPN 等 VPN 故障 排查 ,包括 AM, FCM, E1POS 等 终端 接 入 故障 排 
查 , 以 及 QoS, VoIP 等 故障 排查 。 

第 3 章 交换 技术 

本 章 介绍 了 交换 相关 技术 的 故障 排查 思路 ,包括 以 太 网 链 路 、. 以 太 网 接口 .QinQ、BPDU 
Tunel, Voice VLAN 等 以 太 网 二 层 技术 故障 排查 ,包括 端口 安全 .Portal 认证 .MAC 地 址 认证 
等 安全 接 人 故障 排查 ,包括 VRRP, Track, RRPP 等 可 靠 性 故障 排查 以 及 QoS、Radius、 
TACACS 等 故障 排查 。 

第 4 章 路 由 器 产品 

本 章 介绍 了 路 由 器 产品 相关 故障 的 排查 思路 ,包括 MSR G2 设备 License 异常 故障 排查 、 
MSR 风扇 故障 排查 ,PPPoE client 故障 排查 .PPPoE server 故障 排查 、CR16000 和 SR8800 产 
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品 硬件 故障 排查 .MSR 硬件 故障 排查 ,MPLS L2VPN(V7) 故 障 排查 、 配 置 策略 路 由 后 业务 不 
通 故障 排查 、 等 价 路 由 不 能 达到 负载 效果 故障 排查 、 内 网 用 户 无 法 通过 域名 访问 内 部 服务 器 故 
障 排查 、SR66 系列 路 由 器 电源 模块 故障 排查 、SR66 设备 硬件 故障 排查 .ER 系列 路 由 器 掉 线 
故障 排查 、ER 系列 路 由 器 忘记 密码 故障 排查 等 。 

第 5 章 交换 机 产品 

本 章 介绍 了 交换 机 产品 相关 故障 的 排查 思路 ,包括 高 端 产品 电源 故障 排查 、 高 端 产 品 业务 板 
CPU 利用 率 高 故障 排查 、 高 端 产品 转发 丢 包 故障 排查 、 高 端 产 品 IRF2 堆 秋 无 法 建立 故障 排查 、 
高 端 产品 板 卡 无 法 注册 故障 排查 .S12500/S9500E 产品 风扇 故障 排查 .S12500/S9500E 产品 镜 
像 组 无 法 下 发 故障 排查 、 高 端 交 换 机 策略 路 由 不 生效 问题 排查 .CR16000/SR8800 产品 风扇 故 
HEA Smart Link 故障 排查 `VLAN MAPPING 故障 排查 、 常 见 盒 式 交换 机 硬件 故障 排查 、 
高 端 交 换 机 等 价 路 由 及 链 路 聚合 出 口 流 量 负载 不 均 故 障 排查 、 高 端 交换 机 二 次 电源 故障 排查 、 
常见 框 式 交 换 机 硬件 故障 排查 、12500_9500E 端口 镜像 不 生效 故障 排查 、 中 低 端 交换 机 (V5) 
光 口 不 能 Up 故障 排查 、PoE 故障 排查 、 高 端 交 换 机 MQC 重 定向 不 生效 故障 排查 .中 低 端 交 
换 机 (V5) 等 价 路 由 出 口 流量 负载 不 均 故 障 排查 、 无 管理 交换 机 转发 异常 故障 排查 .AGMP 管 
理 类 故障 排查 .SMB 交换 机 掉 线 故障 排查 .SMB 交换 机 配合 应 用 软件 使 用 故障 排查 、SMB 可 
管理 交换 机 忘记 密码 故障 排查 .ARP-DETECTION 故障 排查 、 中 低 端 设备 CPU 利用 率 高 故 
障 排查 等 。 

第 6 章 安全 产品 

本 章 介绍 了 安全 产品 相关 故障 的 排查 思路 ,包括 IPSec VPN 故障 排查 .PKI 故障 排查 、 
OAA 故障 排查 .SSH 故障 排查 .SSL VPN 故障 排查 、 公 钥 管理 故障 排查 .ACG1000 微 信 认证 
故障 排查 .ACG1000 应 用 审计 功能 故障 排查 .ACG1000 URL 功能 问题 故障 排查 .ACG1000 
日 志 功 能 故障 排查 、 防 火 墙 CPU 利用 率 高 故障 排查 .防火墙 NAT 故障 排查 、 防 火 墙 Web 网 
管 故障 排查 、 防 火 墙 丢 包 故障 排查 、 防 火 墙 内 存 利 用 率 高 故障 排查 、 防 火 墙 双 机 热 备 故 障 排查 、 
防火 墙 域 间 策略 故障 排查 、 防 火 墙 重 启 故障 排查 、 防 火 墙 链 路 聚合 故障 排查 、 防 火 墙 攻击 防范 
故障 排查 防火墙 ALG 故障 排查 、M9000 丢 包 问题 故障 排查 、M9000 内 存 高 问题 故障 排查 、 
IPS 防 病 毒 功能 故障 排查 、IPS 防 攻击 功能 故障 排查 、M9000 CPU 利用 率 高 故障 排查 、M9000 
NAT 功能 故障 排查 、M9000 版 本 升降 级 故障 排查 、M9000 日 志 功 能 故障 排查 .LB NAT 方式 
服务 器 负载 均衡 故障 排查 `.LB Outbound 链 路 负载 均衡 故障 排查 、LB 健康 性 检测 故障 排查 、 
LB Inbound 链 路 负载 均衡 故障 排查 、LB DR 方式 服务 器 负载 故障 排查 、IPS(CACG)MQC 引流 
问题 故障 排查 、IPS(ACG) URL 过 滤 功 能 故障 排查 、IPS(ACG) Web 登录 故障 排查 、IPS 
(ACG) 带 宽 管理 功能 故障 排查 、IPS(ACG) 日 志 功 能 故障 排查 、IPS(ACG) 上 网 慢 故 障 排查 等 。 

第 7 章 无 线 产品 

本 章 介绍 了 无 线 产 品 相关 故障 的 排查 思路 ,包括 无 线 设 备 CPU 利用 率 高 故障 排查 .无线 
设备 内 存 利用 率 高 故障 排查 \.AC 异常 重启 故障 排查 、 网 管 采集 无 线 设 备 数据 异常 故障 排查 、 
无 线 AC CAPWAP 备份 故障 排查 无线 组 播 故障 排查 与 优化 无线 AC PSK 认证 故障 排查 、 
AC Portal 热 备 故障 排查 .无线 AC 硬件 故障 排查 ,无线 AC 静态 路 由 故障 排查 ,DHCP Server 
故障 排查 无 线 指 纹 定位 故障 排查 `VRRP 十 NQA 联动 失败 故障 排查 、 室 外 无 线 CPE 应 用 网 
速 慢 、 体 验 差 故障 排查 ,无线 CUPID 定位 故障 排查 .无线 非 WLAN 干扰 故障 排查 、 无 线 控制 
器 VRRP 故障 排查 \ 瘦 AP 注册 不 上 故障 排查 、 本 地 转发 异常 故障 排查 、 无 线 桥接 故障 排查 、 
ER X 分 信号 覆盖 不 佳 故 障 排查 、 无 线 桥接 快速 切换 故障 排查 、 无 线 终端 硬件 故障 排查 、 无 线 
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终端 丢 包 问题 定位 故障 排查 、 无 线 终端 关联 失败 故障 排查 、MAC 接 人 认证 故障 排查 .本 地 
Portal Server 故障 排查 、 无 线 MAC 快速 认证 故障 排查 、 无 线 Portal 认证 故障 排查 、 移 动 
WLAN 话 单 故 障 排查 、 无 线 PSK 认证 故障 排查 、VRRP 十 NQA 联动 失败 故障 排查 、 无 线 
802. 1x 认证 故障 排查 等 。 

第 8 章 iMC 管理 软件 

本 章 介绍 了 iMC 管理 软件 相关 故障 的 排查 思路 ,包括 iMC 安装 部 署 故 障 排查 、iMC 设备 
管理 故障 排查 .iMC 告警 管理 故障 排查 、iMC License 故障 排查 .iMC Dbman 备份 故障 排查 、 
IMC 性 能 管理 故障 排查 iMC 拓扑 管理 故障 排查 、Portal 认证 页 面 无 法 弹出 故障 排查 、Portal 
无 感知 认证 故障 排查 ,iMC 数据 库 故 障 排查 、iNode 安装 运行 故障 排查 、WSM 无 法 识别 或 同 
步 AC 故障 排查 ,拓扑 常见 问题 排查 、 防 破解 故障 排查 、 备 份 设备 配置 文件 失败 故障 排查 、iMC 
页 面 显示 乱码 故障 排查 iMC 页 面 响应 慢 故 障 排查 、 访 客 二 维 码 认证 故障 排查 .WSM 射频 管 
理 故 障 排查 MC APM 数据 库 管理 故障 排查 、 防 内 网 外 连 故障 排查 ,访客 基本 功能 故障 排查 、 
iMC NTA/UBA 管理 NetStream 日 志 故 障 排查 .iMC UBA 管理 NAT 及 FLOW 日 志 故 障 排 
查 、802. 1x 认证 故障 排查 .UAM Portal 认证 故障 排查 、LDAP 用 户 管理 故障 排查 .证书 认 证 故 
障 排查 、EIA 之 BYOD 特性 故障 排查 .EAD 补丁 管理 故障 排查 、EAD 防 病毒 软件 故障 排查 、 
WSM 资源 管理 故障 排查 、 桌 面 资 产 管理 故障 排查 .DAM 软件 分 发 故障 排查 、.EAD 可 控 软件 
管理 故障 排查 MC BIMS 组 件 问题 分 析 、APM 应 用 监控 故障 排查 ,iMC 双 机 冷 备 方案 故障 排 
查 等 。 

第 9 章 云 计 算 产 品 

本 章 介绍 了 云 计算 产品 相关 故障 的 排查 思路 ,包括 H3C CAS 云 计算 平台 License 使 用 、 
虚拟 机 启动 异常 故障 排查 、 零 存储 集群 添加 节点 异常 问题 排查 .H3C CAS 云 计算 平台 虚拟 机 
优化 .DRX 业务 扩展 故障 排查 、 虚 拟 机 手动 迁移 失败 故障 排查 、FlexServer R390 服务 器 指示 
灯 告 警 故障 排查 .刀片 服务 器 开机 故障 排查 等 。 

第 10 章 ， EPON_EoC 产品 

本 章 介绍 了 EPON_EocC 产品 相关 故障 的 排查 思路 ,包括 ONU 注册 类 故障 排查 .ONU 长 
发 光 故 障 排查 .OLT 上 无 法 ping iñ ONU 的 管理 地 址 故障 排查 .SMB V5 交换 机 POE 故障 排 
查 、EoC 双向 网 改造 导致 电视 播放 异常 故障 排查 、EoC 头 端 无 法 管理 故障 排查 、EoC 网 络 
PPPoE 拨号 上 网 故障 排查 、EoC 终端 注册 不 上 故障 排查 、EoC 终端 配置 下 不 生效 故障 排查 等 。 

由 于 编者 水 平 有 限 , 书 中 难免 有 政 漏 之 处 , 敬 请 读者 批评 指正 。 
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H3C 认证 简介 


H3C 认证 培训 体系 是 中 国 第 一 家 建立 国际 规范 的 完整 的 网 络 技术 认证 体系 , H3C 认证 
是 中 国 第 一 个 走向 国际 市 场 的 IT 厂商 认证 。H3C 致力 于 行业 的 长 期 增长 ,通过 培训 实现 知 
识 转移 ,着 力 培养 高 业绩 的 缔造 者 。 目 前 在 全 球 拥有 20 余 家 授权 培训 中 心 和 380 余 家 网 络 学 
Bë. WIE 2014 年 底 , 已 有 40 多 个 国家 和 地 区 的 23 万 余人 次 接受 过 培训 , 逾 12 万 人 次 获得 认 
证 证 书 。H3C 认证 将 秉承 “专业 务实 ,学 以 致 用 "的 理念 ,快速 响应 客户 需求 的 变化 ,提供 丰富 
的 标准 化 培训 认证 方案 及 定制 化 培训 解决 方案 ,帮助 您 实现 梦想 .制胜 未 来 。 

按照 技术 应 用 场合 的 不 同 , 同 时 充分 考虑 客户 不 同 层 次 的 需求 ,H3C 公司 为 客户 提供 了 
从 网 络 助理 工程 师 到 网 络 专家 的 四 级 网 络 认 证 体系 和 应 运 而 生 的 云 计算 认证 体系 。 


网 络 认证 体系 云 计 算 认 证 体系 


H3C 认证 将 秉承 “专业 务实 ,学 以 致 用 ”的 理念 ,与 各 行 各 业 建 立 更 紧密 的 合作 关系 ,认真 
研究 各 类 客户 不 同 层次 的 需求 ,不 断 完善 认证 体系 ,提升 认证 的 含金量 ,使 H3C 认证 能 有 效 证 
明 您 所 具备 的 网 络 技术 知识 和 实践 技能 ,帮助 您 在 竞争 激烈 的 职业 生涯 中 保持 强 有 力 的 竞争 
实力 ! 


新 华 三 大 史记 ， 根 叔 列传 


根 权 , 东 吴 人 士 ,年 近 四 和 旬 ,H3C TAC 中 心 资深 工程 师 。 
沉浸 " 攻 城 之 术 "二 十 载 有 余 , 频 有 心得 。 深 感 众 工程 师 " 日 夜 
劳作 , 披 星 戴 月 ,早起 于 鸡 , 晚 睡 于 狗 , 常 哎 心 沥 血 ,或 命 是 一 
R”, RA: 吾 生 也 有 涯 ,而 城池 亦 有 源 。 诸 城 或 大 或 小 ,或 产 
品 或 协议 ,或 固 若 金 汤 , 或 坚 如 换 石 , 恰 如 世间 万 物 , 和 此 暗合 天 
数 , 有 人 迹 可 和 通 。 后 每 下 一 " 城 ", 则 做 图 一 卷 , 绘 该 城 之 奥妙 , 剖 
机 关 之 精 巧 。 日 后 若 再 攻 此 “ 城 ", 则 按 前 图 索 戏 。 政 一 触 即 
溃 , 城 危 如 累 卵 。 若 遇 图 不 能 穷尽 之 处 , 则 修改 之 ,增益 之 ,日 
渐 精 进 。 日 积 月 累 , 共 得 图 两 百 余 卷 , 卷 卷 彩绘 于 锦 朱 之 上 , 琉 
HAR, REZE, BAH., 云图 。 视 为 珍宝 , 藏 于 隐秘 之 处 。 
若 他 人 求 见 , 则 怒斥 : 吾 之 命根 , 岂 肯 轻易 示人 ! BA, E ER 
其 为 : RR, 

根 权 近年 自觉 年 事 已 高 , 戏 日 后 登 梯 攻 城 时 误 中 流 矢 , 则 
云图 宝典 永 无 见 天 日 闫 。 纠 结 数 月 , 某 日 顿 恤 : AHEAD 
于 众 , 昕 救 众 工程 师 于 水 火 。 

IT 江湖 得 知 ,一 片 喉 然 , 众 帮派 掌 门 及 其 小 伙伴 皆 惊 括 , = 
a., 古 有 《孙子 和 兵法) 一 十 三 篇 ,含有 根 权 云图 两 百 余 卷 ! 将 本 
帮 安 身 立 命 之 绝学 造福 天 下 者 ,前 未 党 闻 也 。H3C TAC 中 心 ， 
高 端 . 大 气 、 上 档次 1 
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公共 协议 1.1.1 静态 路 由 故障 排查 步骤 详解 


1. 开始 

静态 路 由 是 否 能 够 加 入 到 全 局 路 由 表 中 并 成 功 指导 报 文 正确 转发 ,取决 于 其 出 接口 状态 
与 下 一 跳 地 址 可 达 性 ,以 及 相关 检测 联动 的 状态 等 方面 。 因 此 静态 路 由 定位 故障 的 思路 是 : 
首先 查看 全 局 路 由 表 中 是 否 有 该 静态 路 由 ; 然后 据 此 相应 地 检查 出 接口 状态 、 下 一 跳 地 址 可 
达 性 .BFD/NQA 配置 .路 由 优先 级 等 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 全 局 路 由 表 中 是 否 有 该 静态 路 由 

MS: display ip routing-table xxx. xxx. xxx. xxx A Wy IP 网 段 ) 

例如 : 通过 上 述 命令 查看 ,可 以 确认 全 局 路 由 表 中 存在 该 静态 路 由 。 


<H3C>display ip routing-table 192.168.2.0 
Routing Tables: Public 


Destinations : 1 Routes : 1 
Destination/ Mask Proto Pre Cost NextHop Interface 
192.168.2.0/24 Static 60 0 192.168.1.2 GE0/0 


(2) 检查 出 接口 状态 

查看 静态 路 由 对 应 的 出 接口 状态 是 否 正 常 ,正常 情况 下 该 接口 的 物理 层 状态 .协议 层 状态 
均 为 Up。 接 口 状 态 问题 参见 接口 排 错 。 

MA: display inter face brief 

例如 : 通过 上 述 命令 查看 ,可 以 确认 出 接口 的 物理 层 和 协议 层 状态 均 正常 。 


<H3C>display interface brief 

The brief information of interface(s) under route mode: 
Link: ADM - administratively down; Stby - standby 
Protocol: (s) - spoofing 


Interface Link Protocol Main IP Description 
Eth6/0 Down Down == 
GE0/0 Up Up 192.168.1.1 


(3) 检查 下 一 跳 地 址 可 达 性 

查看 静态 路 由 下 一 跳 地 址 ,验证 其 是 否 可 达 。 

MS: display ip routing-table protocol static =zz. zzz. zzz.zzz( H BJ IP W Bt) 
bingzzz=. zrzz.zrzz.zzz( F— ik IP Hh hk) 

例如 : 通过 上 述 命 令 , 可 以 确认 静态 路 由 下 一 跳 地 址 可 达 。 


<H3C>display ip routing-table protocol static 192.168.2.0 


Static Routing Table Status : < Active> 
Summary Count :1 
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Destination/Mask Proto Pre Cost NextHop Interface 
192.168.2.0/24 Static 60 0 192.168.1.2 GE0/0 


<H3C>ping 192.168.1.2 

PING 192.168.1.2: 56 data bytes, press CTRL_C to break 
Reply from 192.168.1.2: bytes=56 Sequence=1 ttl=255 time=1 ms 
Reply from 192.168.1.2: bytes=56 Sequence=2 ttl=255 time=1 ms 
Reply from 192.168.1.2: bytes=56 Sequence=2 ttl=255 time=1 ms 


(4) 查看 是 否 绑 定 BFD 或 NQA 
查看 静态 路 由 是 否 绑 定 了 BFD 或 NQA, 与 BFD 或 NQA 检测 进行 联动 。 
MS: display current-configuration | include xxx. xxx. zzz.zzz( A HJ IP 网 段 ) 


例如 : 通过 上 述 命令 查看 ,可 以 确认 静态 路 由 绑 定 了 BFD 或 NQA。 


<H3C> display current-configuration | include 192.168.2.0 
ip route-static192.168.2.0 255.255.255.0 GigabitEthernet0/0 192.168.1.2 bfd control-packet 


<H3C>display current-configuration | include 192. 168. 2.0 
ip route-static192.168.2.0 255.255.255.0 192.168.1.2 track 1 


(5) 检查 BFD 或 NQA 配 置 与 状态 
在 配置 了 静态 路 由 与 BFD 或 NQA 联动 的 情况 下 ,查看 相关 配置 .状态 信息 是 否 正 确 。 


正常 情况 下 BFD 的 会 话 状态 为 Up; NQA track 项 的 状态 信息 为 Positive。 


或 


命令 : display bfd session 
display track xxx HK HHEH track 号 ) 
例如 : 通过 上 述 命令 查看 ,可 以 确认 BFD 或 NQA 状态 正常 。 


<H3C>display bfd session 


Total Session Num: 1 Init Mode: Active 

IPv4 Session Working Under Ctrl Mode: 

LD/RD SourceAddr DestAddr State Holdtime Interface 
53/53 192.168.1.1 192.168.2.2 Up 3300ms GE0/0 


<H3C>display track 1 

Track ID: 1 

Status: Positive(notify 13 seconds later) 

Notification delay: Positive 20, Negative 30 (in seconds) 
Reference object: 

NQA entry: admin test 

Reaction: 10 


(6) 检查 静态 路 由 的 优先 级 
检查 去 往 同 一 目的 网 段 的 路 由 中 ,静态 路 由 的 优先 级 是 否 最 高 。 
MS: display ib routing-table xxx. z=zz.rzz.zzz( H Hy IP 网 段 ) 
display ip routing-table xxx. xxr. xxx. xxx( H BJ IP 网 段 ) verbose 
例如 : 通过 上 述 命令 查看 ,可 以 确认 静态 路 由 的 优先 级 不 是 最 高 ,因而 未 出 现在 全 局 路 由 
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< H3C>4isplay ip routing-table 192.168.2.0 
Routing Tables: Public 


Destinations : 1 Routes : 1 
Destination/ Mask Proto Pre Cost NextHop Interface 
192.168.2.0/24 OSPF 10 2 192.168.1.2 GE0/0 


[H3C]display ip routing-table 192.168.2.0 verbose 
Routing Table : Public 
Summary Count :2 
Destination: 192.168.2.0/24 
Protocol: OSPF Process ID: 1 
Preference: 10 Cost: 2 
NextHop: 192.168.1.2 Interface: GigabitEthernet0/0 
BkNextHop: 0.0.0.0 BkInterface: 


RelyNextHop: 0.0.0.0 Neighbor : 0.0.0.0 
Tunnel ID: 0x0 Label: NULL 
State: Active Adv Age: 00h00m23s 
Tag: 0 
Destination: 192.168.2.0/24 
Protocol: Static Process ID: 0 
Preference: 60 Cost: 0 


NextHop: 192.168.3.2 Interface: GigabitEthernet0/1 
BkNextHop: 0.0.0.0 BkInterface: 


RelyNextHop: 0.0.0.0 Neighbor : 0.0.0.0 
Tunnel ID: 0x0 Label: NULL 
State: Inactive Adv Age: 00h21m52s 
Tag: 0 


(7) 检查 静态 路 由 掩 码 长 度 

检查 到 目的 IP 网 段 的 报 文 转发 能 否 匹 配 静 态 路 由 , 即 检查 该 静态 路 由 的 掩 码 是 否 最 长 。 
MS: display ip routing-table xxx. xxx. zzz.zzz( B ñ IP 网 段 ) 

例如 : 通过 上 述 命令 查看 ,可 以 确认 静态 路 由 的 掩 码 不 是 最 长 。 


<H3C>display ip routing-table 192.168.2.0 
Routing Table : Public 
Summary Count : 2 


Destination/Mask Proto Pre Cost NextHop Interface 
192.168.2.0/24 Static 60 0 192.168.1.2 GE0/0 
192.168.2.0/25 RIP 100 1 192.168.3.2 GE0/1 


* 


* 


uone 
ME š 
#4: 53 


ENP 公共 协议 7 


公共 协议 1.1.2 RIPv2 eE S e 


1. 开始 

RIP 是 一 种 较为 简单 的 内 部 网 关 协 议 ,维护 起 来 较为 容易 ,通常 情况 下 只 要 参数 配置 正 
确 , 就 能 够 计算 出 正确 的 路 由 表 。 当 发 生路 由 表 缺 失 现象 时 ,首先 需要 检查 RIP 的 各 种 参数 
设置 ,是 否 正确 启动 ,接口 功能 是 否 使 能 。 

因此 定位 思路 是 , 先 查 基本 配置 ,再 查看 是 否 验证 问题 ,是 否 引 入 外 部 路 由 ,路 由 表 是 否 
完整 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 RIP 配置 

查看 RIP 进程 的 当前 运行 状态 及 配置 信息 。 

MA: display rip 

例如 : 通过 命令 查看 ,确认 全 局 正确 使 能 RIPv2 并 且 接口 未 设置 成 silent 端口 。 


<H3C> display rip 
Public VPN-instance name : 


RIP process :1 
RIP version : 2 
Preference : 100 
Checkzero : Enabled 
Default-cost : 0 
Summary : Enabled 
Hostroutes : Enabled 
Silent interfaces : None 
Default routes : Only Default route cost : 3 
Verify-source : Enabled 
Networks : 192.168.1.0 
Configured peers : None 


(2) 是 否 开 启 密码 验证 

查看 使 能 RIP 的 端口 是 否 开启 密码 验证 功能 ,如 果 开 启 ,确保 对 端 端口 同样 开启 密码 验 
证 功能 ,同时 验证 密码 一 致 。 

命令 : 接口 视图 下 display this 

例如 : 通过 命令 查看 接口 是 否 开启 密码 验证 。 


[H3C-GigabitEthernet0/1] display this 
# 
interface GigabitEthernet0/1 
port link-mode route 
ip address 192.168.4.1 255.255.255.0 
rip authentication-mode mds rfc2453 = W6JJ'N_LBKQ=^Q'MAF4<1!! 
rip version 2 multicast 


# 


如 果 端 口 下 配置 了 密码 ,需要 确保 两 端 密码 配置 一 致 。 由 于 密 文 配置 的 密码 采用 了 加 密 
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显示 ,在 无 法 确定 密码 是 否 一 致 的 情况 下 ,请 重新 配置 确认 密码 一 致 。 
命令 : 接口 视图 下 rip authentication-mode 
例如 : 在 接口 GigabitEthernet0/1 上 配置 rfc 2453 格式 的 md5 验证 ,验证 字 为 rose, 


< H3C> system-view 

[H3C] interface GigabitEthernet 0/1 

[H3C-GigabitEthernet0/1]rip version 2 
[H3C-GigabitEthernet0/1]rip authentication-mode md5 rfc2453 rose 


(3) 是 否 属于 引入 的 外 部 路 由 

在 RIP 在 引入 外 部 路 由 时 ,只 能 引入 路 由 表 中 状态 为 Active 的 路 由 ,是 否 为 Active 状态 
通过 命令 查看 。 

MA: display ip routing-table protocol 

例如 : 以 静态 路 由 为 例 , 通 过 命令 来 查看 引入 的 静态 路 由 是 否 为 Active 状态 。 


[H3C] display ip routing-table protocol static 192.168.2.0 


Static Routing Table Status : < Active > 
Summary Count :1 


Destination/Mask Proto Pre Cost NextHop Interface 
192.168.2.0/24 Static 60 0 192.168.1.2 GE0/0 
(4) 查看 路 由 表 

查看 RIP 路 由 表 中 是 否 存在 相应 路 由 。 
MS: display rip 1 route TIT. TLL. LLL. LTL 


例如 : 查看 RIP 路 由 表 中 56.0. 0.0/8 网 段 的 路 由 信息 。 


<H3C> display rip 1 route 56.0.0.0/8 
Route Flags: R-RIP, T-TRIP 
P-Permanent, A-Aging, S-Suppressed, G-Garbage-collect 


Peer 21.0.0.23 on Vlan-interface11 


Destination/ Mask NextHop Cost Tag Flags Sec 
56.0.0.0/8 21.0.0.23 1 0 RA 102 
Peer 21.0.0.12 on Vlan-interface12 

Destination/ Mask NextHop Cost Tag Flags Sec 
56.0.0.0/8 21.0.0.12 1 0 RA 34 


O 接口 是 否 开启 接收 和 发 送 路 由 的 功能 。 若 查看 RIP 路 由 表 未 发 现 相 应 路 由 信息 ,请 确 
认 对 应 的 接口 未 关闭 发 送 和 接收 RIP 报 文 的 功能 。 


命令 : display rip 1 inter face 


<H3C> display rip 1 interface 
Interface-name: Vlan-interface11 
Address/Mask:1.1.1.1/24 Version: RIPv1 
MetricIn:5 MetricIn route policy:123 
MetricOut:5 MetricOut route policy:234 
Split-horizon/ Poison-reverse:on/off Input/Output:on/on 
Current packets number/Maximum packets number:234/2000 
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如 果 通 过 上 述 命令 查看 到 rip Input/Output 存在 off 状态 ,可 以 通过 命令 将 其 修改 为 on 
状态 ,在 修改 前 ,请 确认 该 端口 是 否 的 确 需要 将 rip Input/Output EF off 状态 。 
命令 : 接口 视图 下 rip input/output 


<H3C>system-view 
[H3C]interface GigabitEthernet 0/1 
[H3C-GigabitEthernet0/1]rip input 


© 如 果 在 ATM 和 FR 接口 上 配置 RIP, 确 保 开 启 了 接口 的 广播 传送 功能 。 以 ATM ÉE 
口 为 例 , 在 对 应 的 接口 开启 接收 RIP 报 文 的 情况 下 ,使 能 了 RIP 的 Atm 链 路 上 无 法 传送 RIP 
路 由 时 ,确认 在 pvc 上 开启 了 广播 功能 。 

MA: display current-configruation inter face atm 


例如 : 通过 命令 查看 使 能 了 RIP 的 Atm 配置 信息 。 


<H3C> display current-configruation interface atm 
# interface Atm3/1/0 

pve 2 1/32 

map ip 10.0.0.1 broadcast 


如 果 对 应 pve 没有 使 能 广播 功能 ,请 在 创建 映射 时 配置 使 能 广播 功能 。 

命令 : mapip IIL. LIL. LTL. LLL 

例如 : 在 pve 1/32 上 创建 一 个 静态 映射 ,指定 对 端 IP 地 址 为 10. 0. 0. 1 ,并 支持 广播 。 
<H3C> system-view 

[H3C] interface atm 3/1/0 


[H3C-Atm3/1/0] pvc 2 1/32 
[H3C-atm-pvc-Atm3/1/0-1 八 32] map ip 10.0.0.1 broadcast 


O 是 否 存在 不 连续 的 子 网 。 如 果 本 地 路 由 表 中 缺失 的 路 由 信息 和 本 地 路 由 表 中 存在 的 
路 由 信息 属于 不 连续 的 子 网 , 则 需要 取消 接口 的 聚合 功能 。summary 命令 用 来 使 能 RIP-2 自 
动 路 由 聚合 功能 ,聚合 后 的 路 由 以 使 用 自然 掩 码 的 路 由 形式 发 布 , 减 小 了 路 由 表 的 规模 。 
undo summary 命令 用 来 关闭 自动 路 由 聚合 功能 ,以 便 将 所 有 子 网 路 由 广播 出 去 。 


命令 : undo summary 


例如 : 本 地 存在 162. 16. 1. 0/24 网 段 ,无 法 学 习 到 邻居 路 由 器 上 的 162. 16. 3. 0/24 网 段 
路 由 信息 。 


< H3C> system-view 
[H3C] rip 
[H3C-rip-1] undo summary 


@ 度量 值 是 否 大 于 等 于 16。 如 果 本 地 路 由 表 无 相关 路 由 ,请 查看 存在 该 路 由 的 相 邻 路 由 
器 上 该 路 由 的 度量 值 , 并 且 确认 该 度量 值 和 该 设备 端口 配置 的 发 送 路 由 度量 附加 值 以 及 本 设 
备 端口 配置 的 接收 路 由 的 附加 度量 值 (如 果 有 ) 之 和 小 于 16. 

查看 路 由 度量 值 的 命令 : display rip 1 database 


[H3C] interface GigabitEthernet 2/1/2 
[H3C-GigabitEthernet2/1/2] display rip 1 database 
1.1.1.0/24, cost 2, nexthop 1.1.1.1, Rip-interface 
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查看 接口 附加 度量 值 的 命令 : display rip 1 inter face 


<H3C> display rip 1 interface 

Interface-name: Vlan-interface11 
Address/Mask:1.1.1.1/24 Version: RIPv1 
MetricIn:5 MetricIn route policy:123 
MetricOut:5 MetricOut route policy:234 


通过 上 述 命令 查看 接口 的 MetricIn 是 接收 路 由 的 附加 度量 值 , MetricOut 是 发 送 路 由 的 
附加 度量 值 。 


EEr 
状态 是 否 正 确 


查看 路 由 是 否 加 入 确认 路 由 信息 
5 路 由 表 ERA — 
确认 邻 挝 关系 的 


确认 路 由 
rÈ Ë nk z aÑ 


BAERE B ñ GFA 
地 址 确认 F4 路 由 
为 有 效 路 由 


拨打 热线 


400-3100504 F # # $ 
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公共 协议 1.1.3 OSPF 故障 排查 DRE 


1. 开始 


由 于 OSPF 路 由 正确 地 加 入 到 全 局 路 由 表 , 依 赖 于 正确 的 OSPF 路 由 计算 ,而 OSPF 计算 
路 由 依赖 于 正确 的 OSPF LSDB 数据 库 信息 ,要 建立 正确 的 OSPF LSDB 数据 库 则 首先 要 确 
保 邻 居 之 间 能 够 形成 正确 的 邻接 关系 。 因 此 OSPF 路 由 问题 的 排查 整体 思路 为 :首先 检查 
OSPF 邻居 关系 ,其 次 检查 OSPF LSDB 数据 库 信 息 , 最 后 检查 全 局 路 由 表 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 OSPF 邻居 状态 是 否 正确 

查看 两 端 OSPF 邻居 状态 是 否 正常 ,正常 情况 下 DRother 之 间 的 邻居 关系 应 该 稳定 在 
2-way 状态 , 非 DRother 之 间 的 邻居 关系 应 该 稳定 在 Full 状态 。 

命令 : display ospf peer x.x. x.x 

例如 : 通过 命令 查看 ,可 以 确认 OSPF 的 邻居 状态 是 否 正 常 。 


<H3C>display ospf peer 2.2.2.2 


OSPF Process 1 with Router ID 1.1.1.1 
Neighbor Brief Information 


Area: 0.0.0.0 
Router ID Address Pri Dead-Time Interface State 
2.2.2.2 10.1.1.2 1 385 Eth0/1/0.2 Full/BDR 


(2) 确认 接口 启动 OSPF 及 邻居 两 端 OSPF 参数 相 匹 配 

(Q 确认 接口 启动 OSPF, OSPF 的 运行 是 基于 设备 接口 的 ,如 果 OSPF 没有 在 接口 启动 ， 
那么 邻居 关系 肯定 无 法 形成 。 在 接口 上 启用 OSPF 是 通过 Area 视图 下 的 network 命令 实现 
的 ,必须 确保 network 中 的 网 络 范围 包括 需要 启动 OSPF 的 接口 地 址 。 

MA: display ospf inter face 

例如 : 通过 命令 查看 接口 是 否 启动 OSPF。 


< H3C>4isplay ospf interface 
OSPF Process 1 with Router ID 3.3.3.3 


Interfaces 
Area: 0.0.0.0 
IP Address Type State Cost Pri DR BDR 
12.1.1.1 Broadcast DR 1 1 12.1.1.1 12.1.1.2 


@ 确认 邻居 两 端 OSPF 参数 相 匹配 ,具体 包括 以 下 几 点 。 

(a) OSPF 区 域 配置 是 否 匹 配 。 启 动 OSPF 的 接口 属于 某 个 区 域 ,同时 区 域 有 多 种 类 型 ， 
区 域 依靠 区 域 ID 进行 标识 ,如 果 两 边 的 区 域 类 型 或 区 域 ID 不 匹配 , 则 不 会 形成 邻居 关系 。 

(b) OSPF 验证 配置 是 否 匹 配 。OSPF 支持 报 文 验 证 功能 ,验证 分 为 简单 验证 和 md5 验 
证 两 种 类 型 ,如 果 两 边 验证 类 型 或 密 钥 配置 不 同 , 则 OSPF 无 法 通过 验证 ,邻居 关系 无 法 形成 。 

(c) 两 端 OSPF 接口 上 计时 器 设 定 值 是 否 匹 配 。OSPF 通过 周期 性 的 交互 Hello 报 文 维 
系 邻 居 关 系 , Hello 报 文 中 携带 了 Hello 报 文 的 发 送 间隔 计时 器 及 邻居 失效 计时 器 ,如 果 这 些 
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计时 器 的 值 在 两 边 的 Hello 报 文中 不 匹配 ,那么 OSPF 的 邻居 关系 无 法 形成 。 注 意 dead timer 
的 值 至 少 应 为 hello timer 值 的 4 倍 。 


(d) 两 端 OSPF 接口 类 型 是 否 匹 配 。OSPF 邻居 关系 的 正常 建立 需要 确保 邻居 两 端 接口 


的 OSPF 网 络 类 型 一 致 , 否则 将 无 法 形成 邻居 关系 。 需 要 说 明 的 是 若 邻 居 双 方 一 端 设 置 为 
P2P 类 型 另 一 端 设置 为 广播 类 型 ,那么 邻居 状态 可 以 达到 FULL 状态 ,但 此 时 无 法 计算 出 路 
由 信息 。 


(e) 广播 网 络 中 两 端 接口 子 网 掩 码 是 否 相 同 。OSPF Hello 报 文中 携带 子 网 掩 码 信息 。 


在 广播 网 络 中 ,如 果 两 端 接口 属于 不 同 的 IP 子 网 ,那么 邻居 关系 无 法 形成 。 


(f) NBMA 网 络 是 否 指定 邻居 。OSPF 网 络 类 型 为 NBMA 时 必须 手工 指定 邻居 的 IP 地 


址 ,否则 端口 无 法 发 送 Hello 报 文 ,无 法 形成 邻居 关系 。 


MA: display current-con figuration interface inter face-number 
display current-con figuration con figuration inter face inter face-number 


例如 : 通过 命令 查看 接口 下 的 OSPF 参数 设置 是 否 一 致 。 


<H3C>display current-configuration interface e0/1/0.1 
# 
interface Ethernet0/1/0.1 

vlan-type dotlq vid 100 

ip address 20.1.1.1 255.255.255.0 

ospf network-type p2p 
<H3C>display current-configuration interface e0/1/0.1 
# 
interface Ethernet0/1/0.1 

vlan-type dotlq vid 100 

ip address 20.1.1.2 255.255.255.0 

ospf network-type p2p 


(3) 确认 邻接 关系 的 两 端 接口 没有 设置 为 静默 端口 
当 接口 在 OSPF 协议 视图 中 被 设置 为 静默 端口 时 , 它 将 不 能 发 送 OSPF Hello 报 文 , 因 此 


OSPF 邻居 关系 无 法 形成 。 


命令 : display current-con figuration con figuration osp f 


例如 : 通过 命令 查看 接口 正确 启动 OSPF 并 设置 为 非 静默 端口 ,配置 静默 端口 。 


<H3C>display current-configuration configuration ospf 
# 
ospf 1 
silent-interface GigabitEthernet 2/0/1 
area 0.0.0.0 
network 10.1.1.1 0.0.0.0 
area 0.0.0.1 
network 20.1.1.1 0.0.0.0 
network 10.10.2.1 0.0.0.0 


(4) 查看 路 由 是 否 加 入 OSPF 路 由 表 
查看 OSPF 路 由 表 中 是 否 存在 相应 路 由 。 
命令 : display ospf routing x.x. x.x 


例如 : 查看 外 部 路 由 9. 9. 9. 9 是 否 加 入 ospf 路 由 表 。 
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<H3C>display ospf routing 9.9.9.9 


OSPF Process 1 with Router ID 4.4.4.4 
Routing Tables 
Routing for ASEs 
DestinationCost Type Tag NextHop AdvRouter 
9.9.9.9/321 Type2 T 10.10.5.1 3.3.3.3 


(5) 确认 路 由 信息 正确 发 布 
车 查看 OSPF 路 由 表 未 发 现 相 应 路 由 信息 ,请 首先 确认 路 由 信息 是 否 在 OSPF 中 正确 发 
布 , 对 于 未 进行 发 布 的 路 由 请 修改 配置 将 路 由 正确 发 布 。 


MS: display current-con figuration con figuration osp f 


例如 : 查看 10. 10. 4. 0. 0. 0. 0. 255 的 路 由 信息 是 否 在 OSPF 中 发 布 。 


<H3C>display current-configuration configuration ospf 
# 
ospf 1 
area 0.0.0.0s 
network 10.10.1.0 0.0.0.255 
network 10.10.4.0 0.0.0.255 
area 0.0.0.1 
network 10.10.2.0 0.0.0.255 


(6) 确认 LSA 信息 正确 
确认 OSPF LSDB 数据 库 中 是 否 存在 路 由 计算 所 需 的 正确 LSA 信息 。 对 于 区 域内 的 路 
由 需要 检查 是 否 存在 该 路 由 始 发 者 的 Router LSA ,DR 的 Network LSA( 广 播 网 络 ); 对 于 区 
域 间 的 路 由 需要 首先 检查 是 否 存在 LS ID 为 该 网 段 的 Summary LSA, 然 后 检查 是 否 存 在 该 
Summary LSA 所 对 应 Adv Rtr 的 Router LSA; 如 果 外 部 路 由 是 通过 区 域内 学 习 到 的 ,需要 
首先 检查 是 否 存在 LS ID 为 该 网 段 的 ASE LSA, 然 后 检查 是 否 存在 该 ASE LSA 中 所 对 应 
Adv Rtr 的 Router LSA; 如 果 外 部 路 由 是 通过 区 域 间 学 到 的 那么 首先 检查 对 应 的 ASE LSA, 
其 次 检查 是 否 存 在 该 ASE LSA 所 对 应 Adv Rtr 的 Asbr Sumarry LSA, 最 后 检查 该 Asbr 
Summary LSA 所 对 应 Adv Rtr 的 Router LSA., 
MS: display ospf lsdb router x.x. x.x 
display ospf lsdb network 
display ospf lsdb summary TIX. ELX. XLX. TIX 
display ospf lsdb asbr x.x. x.x 
display ospf lsdb ase x.x. x.x 
例如 : 通过 命令 查看 外 部 路 由 9. 9. 9. 9 相关 的 LSA 信息 。 
< H3C>4isplay ospf lsdb ase 9.9.9.9 


OSPF Process 1 with Router ID 4.4.4.4 
Link State Database 


Type : External 
LSID 1929:99 
Adv Rtr :3.3.3.3 
LS Age : 841 
Len : 36 


Options : E 
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<H3C>display ospf lsdb asbr 3.3.3.3 
OSPF Process 1 with Router ID 4.4.4.4 


Area: 0.0.0.2 
Link State Database 
Type : Sum-Asbr 
LSID : 3.3.3.3 
Adv Rtr :2.2.2.2 
LS Age :1091 
Len : 28 
Options EOE 


<H3C>display ospf lsdb router 2.2.2.2 
OSPF Process 1 with Router ID 4.4.4.4 


Area: 0.0.0.2 
Link State Database 
Type : Router 
LS ID AAAA 


Adv Rtr : 2.2.2.2 
Link Count: 1 
Link ID : 10.10.5.1 
Data :10.10.5.1 
Link Type: TransNet 
Metric : 1 


例如 : 通过 命令 查看 区 域内 路 由 10. 10. 4. 0/24 相关 的 LSA 信息 。 


<H3C>display ospf lsdb network 


OSPF Process 1 with Router ID 2.2.2.2 


Area: 0.0.0.0 
Link State Database 
Type : Network 
LSID t 0.101111 
Adv Rtr :1.1.1.1 
LS Age : 934 
Len : 32 
Options PE 
Seq# : 80000002 


Checksum : 0xc76b 
Net Mask : 255.255.255.0 
Attached Router 2.2.2.2 
Attached Router 112451 
<H3C>display ospf lsdb router 1.1.1.1 
OSPF Process 1 with Router ID 2.2.2.2 


Area: 0.0.0.0 
Link State Database 

Type : Router 

LS ID a A iqi 

Adv Rtr SEREA 

LS Age : 265 

Len £ 48 

Options = ABR E 

Seq # : 80000007 


Checksum : 0x8d61 
Link Count : 2 
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Link ID A o Tee 
Data IO 
Link Type : TransNet 
Metric s. Ë 

Link ID : 10.10.4.0 
Data : 255.255.255.0 
Link Type: StubNet 

Metric a 


例如 : 通过 命令 查看 区 域 间 路 由 10. 10. 2. 0/24 相关 的 LSA 信息 。 


<H3C>display ospf lsdb summary 10.10.2.0 
OSPF Process 1 with Router ID 2.2.2.2 


Area: 0.0.0.0 
Link State Database 
Type : Sum-Net 
LS ID : 10.10.2.0 
Adv Rtr : 1.1.1.1 
LS Age : 1400 
Len : 28 
Options sr 3 
Seq# : 80000001 


Checksum : 0x46fb 
Net Mask : 255.255.255.0 
Tos 0 Metric: 1 
<H3C>display ospf lsdb router 1.1.1.1 
OSPF Process 1 with Router ID 2.2.2.2 


Area: 0.0.0.0 
Link State Database 
Type : Router 
LS ID KERTI 
Adv Rtr : 1.1.1.1 
LS Age :823 
Len : 48 
Options : ABR E 
Seq# : 80000007 


Checksum : 0x8d61 
Link Count : 2 
Link ID : 10.10.1.1 


Data z 10:10:11 
Link Type: TransNet 
Metric : 1 

Link ID : 10.10.4.0 
Data : 255.255.255.0 
Link Type: StubNet 
Metric :1 


导致 OSPF 数据 库 中 LSA 异常 或 缺失 的 原因 主要 包括 如 下 几 种 情况 ,需要 从 相关 的 配置 
或 规划 角度 进行 修正 。 

D 骨干 区 域 被 分 割 ,导致 LSA 缺失 。 

@ 虚 连 接 配 置 错误 ,导致 LSA 缺失 。 

@ RouterID 冲突 ,导致 LSA 震荡 。 

(7) 若 外 部 路 由 携带 FA 地 址 确认 FA 路 由 为 有 效 路 由 

若 外 部 路 由 携带 FA 地 址 确认 FA 路 由 为 有 效 路 由 。OSPF 必须 能 够 通过 区 域内 或 区 域 
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间 路 由 到 达 该 FA 地 址 ,否则 该 外 部 路 由 不 会 加 入 OSPF 路 由 表 。 
例如 : 外 部 路 由 9. 9. 9. 9 携带 了 FA 地 址 为 10. 10. 6.2, 通 过 OSPF 内 部 路 由 能 够 学 习 到 
10. 10. 6. 2 的 路 由 ,外 部 路 由 9. 9. 9.9 正确 加 入 路 由 表 。 


<H3C>display ospf lsdb ase 9.9.9.9 
OSPF Process 1 with Router ID 4.4.4.4 
Link State Database 


Type : External 

LS ID 3 9.9.9.9 

Adv Rtr : 3.3.3.3 

LS Age : 841 

Len : 36 

Options s 

Seq# : 80000005 
Checksum : 0x4e32 

Net Mask : 255.255.255.255 
TOS 0 Metric: 1 

E Type 2:2 

Forwarding Address :10.10.6.2 
Tag wl 


<H3C> display ospf routing 
OSPF Process 1 with Router ID 4.4.4.4 
Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
10.10.6.0/24 3 Inter 10.10.5.1 2.2.2.2 0.0.0.0 


(8) 查看 路 由 是 否 加 入 全 局 路 由 表 

查看 OSPF 路 由 是 否 正确 加 入 到 全 局 路 由 表 内 ,只 有 加 入 到 全 局 路 由 表 的 路 由 才能 指导 
数据 包 的 转发 。 如 果 相 同 的 路 由 信息 同时 也 从 其 他 路 由 协议 学 到 ,为 了 确保 OSPF 学 习 的 路 
由 能 够 最 终 加 入 全 局 路 由 表 ,需要 确保 其 优先 级 为 最 优 。 


命令 : display ip routing-table z. z. z. verbose 


< H3C>4isplay ip routing-table 9.9.9.9 verbose 
Routing Table : Public 
Summary Count : 2 
Destination: 9.9.9.9/32 
Protocol: O_ASE Process ID: 1 
Preference: 150 Cost: 1 
NextHop: 10.10.1.1 Interface: Ethernet0/1/0 
BkNextHop: 0.0.0.0 BklInterface: 
RelyNextHop: 0.0.0.0 Neighbor : 0.0.0.0 
Tunnel ID: 0x0 Label: NULL 
State: Active Adv Age: 00h52m12s 
Tag: 1 
Destination: 9.9.9. 9/32 
Protocol: Static Process ID: 0 
Preference: 200 Cost: 0 
NextHop: 0.0.0.0 Interface: NULLO 
BkNextHop: 0.0.0.0 Bklnterface: 
RelyNextHop: 0.0.0.0 Neighbor : 0.0.0.0 
Tunnel ID: 0x0 Label: NULL 
State: Inactive Ady Age: 00h00m26s 
Tag: 0 


* 
BGP 故障 排查 


x 
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公共 协议 1.1.4 BGP 故障 排查 ”人 Puni: 


1. 开始 


为 了 保证 BGP 路 由 正确 加 入 到 全 局 路 由 表 中 ,首先 需要 确保 BGP 路 由 有 效 ,其 次 要 确保 
能 够 在 和 通过 其 他 路 由 协议 学 到 的 路 由 比较 中 被 优选 。 
BGP 故障 定位 思路 :首先 ,查看 BGP 邻居 状态 ; 其 次 ,查看 BGP 路 由 表 , 查 看 路 由 是 否 存 
在 ,是 否 有 效 , 是 否 优 选 ; 最 后 ,查看 BGP 的 属性 ,查看 是 否 优选 到 了 正确 的 路 由 。 
2. 流程 图 相关 操作 说 明 
(1) 查看 BGP 邻居 状态 
如 果 在 BGP 路 由 表 中 ,未 能 查 到 相 匹 配 路 由 信息 ,需要 查看 BGP 邻居 状态 是 否 正常 。 
命令 : display bgp peer 
例如 : 通过 命令 查看 BGP 邻居 是 否 正常 。 
< H3C> display bgp peer 
BGP local router ID :3.3.3.3 
Local AS number : 65009 
Total number of peers :1 Peers in established state : 1 


Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State 
3.3.3.3 65002 12 10 0 3 00:09:16 Established 


(2) 查看 路 由 表 , 确 认 BGP 邻居 是 否 可 达 , 查 看 邻居 配置 是 否 正 确 
如 果 BGP 邻居 不 能 正常 建立 ,需要 查看 路 由 表 确 认 BGP 邻居 是 否 可 达 。 
MS: display ip routing-table x. z. x.x 


例如 : 通过 命令 查看 BGP 邻居 的 IP 地 址 是 否 存在 匹配 的 路 由 。 


<H3C> display ip routing-table 3.3.3.3 
Routing Tables: Public 


Destinations :1 Routes : 1 
Destination/Mask Proto Pre Cost NextHop Interface 
3-3.3.3/32 OSPF 10 1 Si S2/2/0 


如 果 BGP 邻居 不 能 正常 建立 ,还 需要 查看 BGP 邻居 配置 是 否 正确 。 
命令 : display current-con figuration bg p 
例如 : 通过 命令 查看 BGP 邻居 的 配置 。 


< H3C> display current-configuration bgp 
bgp 65001 

undo synchronization 

peer3.3.3.3 as-number 65002 


还 需要 用 同样 的 方法 确认 对 端 设 备 的 配置 是 否 正确 。 

(3) 查看 BGP 路 由 表 信 息 , 相 关 路 由 是 否 存在 

查看 BGP 路 由 表 信息 ,确认 相关 路 由 是 否 存在 于 BGP 路 由 表 中 。 
命令 : display bgp routing-table z. z. z. z 


例如 : 通过 命令 查看 ,可 以 确认 BGP 路 由 表 中 是 否 存在 相关 路 由 。 
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<H3C> display bgp routing-table 8.1.1.0/24 
Total Number of Routes: 1 
BGP Local router ID is 1.1.1.1 
Status codes: * - valid, ^- VPNv4 best, > - best, d - damped, 
h - history, i- internal, s - suppressed, S- Stale, 
Origin : i- IGP, e- EGP, ? - incomplete 
Network NextHop MED LocPrf PrefVal Path/Ogn 
*>i8.1.1.0/24 9.1.1.1 0 100 0 65002i 


(4) 确认 BGP 邻居 是 否 将 路 由 发 送出 来 
如 果 BGP 路 由 表 中 未 有 相关 路 由 ,需要 确认 BGP 邻居 是 否 将 相关 路 由 发 送出 来 。 


命令 : display bgp routing-table peer z. z. z. z adoertised-routes 


例如 : 在 对 端 路 由 器 上 通过 命令 查看 邻居 发 送 的 路 由 信息 。 


< H3C> display bgp routing-table peer 2.2.2.2 advertised-routes 
Total Number of Routes: 2 
BGP Local router ID is 3.3.3.3 
Status codes: * - valid, > - best, d - damped, 


h - history, i- internal, s - suppressed, S - Stale 
Origin:i-IGP,e - EGP, ? - incomplete 
Network NextHop MED LocPrf PrefVal Path/Ogn 
* >8.1.1.0/24 0.0.0.0 0 0 i 


(5) 查看 BGP 路 由 表 信息 ,相关 路 由 是 否 有 效 
查看 BGP 路 由 表 信 息 ,确认 相关 路 由 在 于 BGP 路 由 表 中 是 否 有 效 。 
MS: display bgp routing-table z. z. z. z 
例如 : 通过 命令 查看 ,可 以 确认 BGP 路 由 表 中 相关 路 由 是 否 有 效 。 
<H3C> display bgp routing-table 8.1.1.0 24 

Total Number of Routes: 1 


BGP Local router ID is 1.1.1.1 
Status codes: * - valid, ^- VPNv4 best, > - best, d - damped, 


h - history, i- internal, s - suppressed, S - Stale, 
Origin : i - IGP, e- EGP, ? - incomplete 
Network NextHop MED LocPrf PrefVal Path/Ogn 
*i8.1.1.0/24 9.1.1.1 0 100 0 65002i 


(6) 查看 路 由 表 ,确认 BGP 路 由 下 一 跳 是 否 可 达 

如 果 BGP 路 由 表 中 存在 相应 的 路 由 信息 ,但 是 该 路 由 为 无 效 路 由 ,需要 确认 该 BGP 路 由 
下 一 跳 是 否 可 达 。 
MS: display ip routing-table z. z. z. z 
例如 : 通过 命令 查看 BGP 路 由 的 下 一 跳 是 否 存 在 匹配 的 路 由 。 
<H3C> display ip routing-table 9.1.1.1 
Routing Tables: Public 

Destinations :1 Routes : 1 


Destination/Mask Proto Pre Cost NextHop Interface 
9.1.1.0/30 OSPF 10 1 127.0.0.1 S2/2/0 


(7) 查看 路 由 表 , 确 认 BGP 路 由 是 否 被 选中 
查看 路 由 表 , 确 认 路 由 表 是 否 优选 了 BGP 的 路 由 。 
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MS: display ip routing-table z. z. x.x 


例如 : 通过 命令 查看 相关 路 由 是 否 由 BGP 学 习 到 。 


<H3C> display ip routing-table 8.1.1.0/24 
Routing Tables: Public 
Destinations :1 Routes : 1 
Destination/Mask Proto Pre Cost NextHop Jnterface 
8.1.1.0/24 OSPF 10 1 915153 S2/2/0 


(8) 查看 路 由 配置 信息 ,确认 路 由 表 中 选中 路 由 所 属 路 由 协议 的 优先 级 是 否 高 于 BGP 
查看 设备 配置 信息 ,确认 在 路 由 表 中 选中 的 路 由 所 属 的 路 由 协议 的 优先 级 。 

命令 : display current-con figuration bg p 

MS: display current-con figuration osp f 


例如 : 查看 OSPF 路 由 的 优先 级 是 多 少 ,BGP 的 路 由 优先 级 是 多 少 ? 注意 H3C 设备 默认 


的 各 个 路 由 协议 优先 级 。 


< H3C>-4isplay current-con figuration 


bgp 65001 
router-id2.2.2.2 
preference 170 170 170 
network 10.0.127.0 255.255.255.0 


ospf 10 router-id2.2.2.2 
preference ase 190 

area 0.0.0.0 

network 10.0.251.156 0.0.0.3 


(9) 查看 BGP 路 由 表 , 查 看 BGP 属性 ,确认 BGP 是 否 优选 到 正确 的 路 由 
查看 BGP 路 由 表 , 确 认 BGP 是 否 优选 到 正确 的 路 由 。 

MS: display bgp routing-table z. z. x.x 

例如 : 通过 命令 查看 相关 BGP 路 由 的 属性 。 


<H3C> display bgp routing-table 8.1.1.0/24 
Total Number of Routes: 1 
BGP Local router ID is 1.1.1.1 
Status codes: * - valid, ^- VPNv4 best, > - best, d - damped, 
h - history, i- internal, s - suppressed, S - Stale, 
Origin : i- IGP, e- EGP, ? - incomplete 


Network NextHop MED LocPrf PrefVal Path/Ogn 
#>i8:1.1.0/24 9.1.1.1 0 100 0 65002i 
*i8.1.1.0/24 10.1.1.1 0 0 0 65003i 


常用 BGP 属性 比较 顺序 : 四 比较 Locprf 属性 大 小 ; 加 比较 AS-Path 的 长 短 ; 加 比较 


Origin 属性 ,i 优先 于 ?; OHE MED 属性 大 小 ; @ 优 先 选择 从 EBGP 邻居 学 来 的 路 由 。 
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公共 协议 1.2.1 IGMP 故障 排查 人 


1. 开始 

组 播 分 为 二 层 和 三 层 组 播 协议 ,其 中 ,IGMP Snooping 是 运行 在 二 层 设备 上 的 组 播 约 束 
机 制 ,用 于 管理 和 控制 组 播 组 ,IGMP 负责 IP 组 播 成 员 管 理 , 用 来 在 IP 主机 和 与 其 直接 相 邻 
的 组 播 路 由 器 之 间 建 立 .维护 组 播 组 成 员 关 系 ,PIM-DM 和 PIM-SM 是 运行 在 路 由 器 之 间或 
三 层 交换 机 之 间 的 三 层 组 播 路 由 协议 ,通过 单 播 路 由 协议 产生 相应 的 组 播 路 由 表 项 。 

IGMP 协议 定位 故障 的 思路 是 : 先 查 组 信息 ,再 查 配 置 ,最 后 查 报 文 。 

2. 查看 IGMP 组 信息 

查看 设备 的 IGMP 组 信息 ,可 以 检查 对 应 接口 或 VLAN 是 否 作为 成 员 端口 加 入 相应 组 
播 组 。 

例如 : 通过 命令 查看 ,可 以 确认 Vlan-interface101 下 有 IP 为 10.1.1.2 的 Host 加 入 组 播 
组 225.0.0.1。 

命令 : display igmp group group-address 


[H3C] display igmp group 225.0.0.1 
Total 1 IGMP Group(s). 
Interface group report information of VPN-Instance: public net 
Vlan-interface101 (2.1.1.1): 
Total 1 IGMP Group reported 
Group Address Last Reporter Uptime Expires 
225.0.0.1 10.1.1.2 00:15:11 00:01:57 


3. 查看 组 是 否 包含 主机 接口 

查看 IGMP 跟踪 的 主机 信息 ,检查 组 播 组 是 否 包含 正确 的 主机 接口 ,需要 在 全 局 或 接口 
视图 下 使 能 主机 跟踪 功能 。 

命令 : display igmp host interface interface tybe inter face-number group group-address 

例如 : 通过 命令 查看 ,可 以 确认 正在 接收 组 播 数据 的 成 员 主 机 信息 (包括 主机 的 IP 地 址 、 
运行 时 间 和 超时 时 间 等 ) ,检查 主机 是 否 在 GigabitEthernet2/0/18 下 。 


[H3C] display igmp host interface GigabitEthernet2/0/18 group 225.0.0.1 
Host information of VPN-Instance: public net 
GigabitEthernet2/0/18(10.1.1.1): 
(0.0.0.0, 225.0.0.1) 
Host Uptime Expires 
10.1.1.3 00:00:14 00:01:56 


如 果 想 要 在 设备 上 查看 主机 信息 ,需要 在 全 局 或 接口 下 使 能 主机 跟踪 功能 。 
例如 : 


[H3C-igmp]display this 
# 
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igmp 
host-tracking 
# 


[H3C-GigabitEthernet2/0/18]display this 
# 
interface GigabitEthernet2/0/11 

igmp host-tracking 
# 


4. 检查 端口 协议 报 文 交互 
通过 在 主机 侧 抓 包 ,查看 当前 主机 的 成 员 报告 报 文 是 否 正常 发 送 ,设备 是 否 正确 回应 , 协 


议 交 互 是 否 正常 。 


例如 : 通过 设备 上 debug IGMP 的 leave 和 report 报 文 , 可 以 看 到 设备 正常 收 到 主机 发 来 


的 加 入 /离开 报 文 。 


< H3C>debugging igmp leave 
<H3C>debugging igmp report 
<H3C> terminal monitor 

Info: Current terminal monitor is on. 
<H3C> terminal debugging 

Info: Current terminal debugging is on. 


<H3C> *Jan 1 01:46:04:806 2011 H3C IGMP/7/REPORT: Received IGMPv2 report for group 
225.1.1.1 on interface Vlan-interface10(1.1.1.1) (G16995) 

*Jan 101:46:04:806 2011 H3C IGMP/7/REPORT: Process IS_EX packet for include group(225. 
1.1.1) on interface Vlan-interfacel0(1.1.1.1) (G115449) 


<H3C> *Jan 101:57:07:615 2011 H3C IGMP/7/LEAVE: Received IGMPv2 leave for group 225. 
1.1.1 on interface Vlan-interface10(1.1.1.1) (G16995) 

*Jan 101:57:07:616 2011 H3C IGMP/7/REPORT: Process TO_IN packet for exclude group(225. 
1.1.1) on interface Vlan-interface10(1.1.1.1) (G115449) 


在 主机 侧 抓 包 ,能 抓 到 对 应 的 主机 发 出 的 加 入 /离开 报 文 ,如 图 1-1 和 图 1-2 所 示 。 
IP 为 1.1.1.2 的 主机 发 出 加 入 报 文 ,组 播 组 地 址 为 225. 1. 1. 1。 


(Untitled) - Wireshark 
Eile Edit View Go Capture Analyze Statisties Help 


Gara gx s c Fean aasma s 
hl: | III pression.. Ger Apply 


9 4.296751 


icg-bridge > telnet [ACK] Seq=1 Ack=108 win=6485 


1 
10 4.297713 1 Telnet pata ... 
11 4.504441 1.1.1.2 NBNS Name query NB KNS. DUBA. NET<00> 3 
12 4.515638 1.1.1.2 TCP icg-bridge > telnet [ACK] seq=1 Ack=418 win-6454 
13 4.516384 11.11240 TELNET Telnet Data ... 
14 4.734224 1.1.1.2 TCP icg-bridge > telnet [ACK] seq-1 Ack=685 win-6427 
15 4.828135 1 2 ë: IGMP V2 Membership Report / Join group 225.1.1.1 


对 应 主机 发 出 加 入 报 文 
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主机 离开 时 ,向 本 网 段 所 有 路 由 器 发 出 Leave Group 报 文 ,目的 地 址 为 224. 0. 0. 2。 


(Untitled) 


Hile Edit Vier Go Capture Analyze Statistics Help — 
uma xz s. s... š s aaam aswsm: B 


Bu: [ Paramapania 


Protocol Info 
NBNS Name query NB KNS. DUBA. NET <00> | 
NBNS Name query NB KNS. DUBA, NET<00> | 
NENS — Name query NB KNS. DUBA. NET<00> 

5 | 


Wo Time Sourc 
1 0.000000 


Name QUEFY Ni 


get-request RFC121: 425.3.2.1. 5.1 RFCL 


Telnet pata ... 
IGMP V2 Membership Query / Join group 225.1.1.1 
zi NBNS Name query NB KNS. DUBA, NET<00> 
ds TcP icg-bridge > telnet [ACK] seq-1 Ack=105 win=6532 


图 1-2 对 应 主机 发 出 离开 报 文 


5. 检查 IGMP 配置 

查看 路 由 器 上 IGMP 的 版 本 和 参数 配置 ,连接 在 同一 网 段 的 所 有 路 由 器 最 好 运行 相同 版 
本 的 IGMP, 且 参数 配置 需要 一 致 ,否则 将 导致 IGMP 组 成 员 关 系 的 混乱 。 

MS: display igmp interface verbose 

例如 : 通过 命令 查看 ,可 以 确认 当前 路 由 器 的 IGMP 版 本 为 v2 ,发 送 IGMP 普遍 组 查询 
报 文 的 时 间 间 隔 为 60 秒 ,IGMP 其 他 查询 器 的 存在 时 间 为 125 秒 ,IGMP 普遍 组 查询 的 最 大 
响应 时 间 为 10 秒 。 


[H3C]display igmp interface verbose 
Interface information of VPN-Instance: public net 
Vlan-interface101(2.1.1.1): 
IGMP is enabled 
Current IGMP version is 2 
Value of query interval for IGMP(in seconds): 60 
Value of other querier present interval for IGMP(in seconds): 125 
Value of maximum query response time for IGMP(in seconds) : 10 
Value of last member query interval(in seconds): 1 
Value of startup query interval(in seconds): 15 
Value of startup query count: 2 
General query timer expiry (hours:minutes:seconds) : 00:00:20 
Querier for IGMP: 2.1.1.1 (this router) 
IGMP activity: 2 joins, 1 leaves 
Multicast routing on this interface: enabled 
Robustness: 2 
Require-router-alert: disabled 
Fast-leave: disabled 
Ssm-mapping: disabled 
Startup-query-timer-expiry: off 
Other-querier-present-timer-expiry: off 
Proxying interface: None 
Total 1 IGMP Group reported 


6. 检查 组 播 组 过 滤 

确认 是 否 应 用 了 组 播 组 过 滤 功 能 ,使 能 该 功能 的 接口 将 按照 ACL 规则 对 收 到 的 IGMP 
成 员 关 系 报告 报 文 进行 过 滤 , 只 为 该 规则 所 允许 的 组 播 组 维护 组 成 员 关系 。 

例如 : 通过 命令 查看 ,接口 下 的 过 滤器 配置 ,有 匹配 ACL 规则 号 3000 的 过 滤器 。 


[H3C-Vlan-interface101]display this 
# 
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interface Vlan-interface101 
ip address 2.1.1.1 255.255.255.0 
igmp enable 
igmp group-policy 3000 
pim dm 


# 


return 


查看 所 配置 的 ACL 规则 ,检查 是 否 将 所 要 实现 的 组 播 组 进行 了 过 滤 。 
MA: display acl acl-number 


例如 : 只 需要 过 滤 IP 地 址 为 225. 0.0.10 的 组 播 组 。 


[H3C]display acl3000 
Advanced ACL 3000, named -none-, 2 rules, 
ACL's step is 5 

rule 0 deny ip destination 225.0.0.1 0 

rule 5 permit ip 


7. 检查 组 播 组 协议 报 文 交 互 

通过 在 主机 侧 抓 包 ,查看 当前 组 播 组 的 查询 报 文 是 否 正常 发 送 ,主机 是 否 回应 ,协议 交互 
是 否 正常 。 

例如 : 通过 设备 上 debug IGMP 的 Query 报 文 ,可 以 看 到 设备 正常 发 出 通用 查询 报 文 。 


<H3C>œdebugging igmp query 
<H3C> terminal monitor 

Info: Current terminal monitor is on. 
<H3C> terminal debugging 

Info: Current terminal debugging is on. 


<H3C> *Jan 1 02:01:24:599 2011 H3C IGMP/7/QUERY SEND: Send IGMP version 2 general| 
query on Vlan-interface10(1.1.1.1) to destination 224.0.0.1 (G14299) 

*Jan 102:01:30:236 2011 H3C IGMP/7/REPORT: Received IGMPv2 report for group 225.1.1.1 
on interface Vlan-interface10(1.1.1.1) (G16995) 


在 主机 上 抓 包 ,也 能 看 到 对 应 报 文 ,如 图 1-3 所 示 。 


Intel(R) 82567LE Gigabit Network Connection: Capturing - Wireshark 


Eile Edit Vier Go Capture Analyze Statistics Help 


Bus aa s g x= al ° * ë| 


aaam amayx B 


Hilter: [ Y Dorenion . Clear Apply 
Mes Time Protocol | Info 
12 1.007305 TCP vmrdp > telnet [ACK] Seq=5 Ack=19 win=64888 
13 1.610866 NBNS Name query NB KNS. DUBA, NET<00> 
14 1.999927 SSDP  M-SEARCH * HTTP/1.1 
NBNS Name query NB KNS. DUBA, NET<00> 
NBNS Name query NB KNS. DUBA. NET<00> 
SsDP RCH * HTTP/1.1 


p 


= NENS Tam q: 

21 5.486587 TELNET Telnet Data ... 

22 5.575782 IGMP V2 Membership Query / join group 225.1.1.1 
23 5.634289 TCP vmrdp > telnet [ACK] Seq=5 Ack=156 win=64751 


SA sas13n Teuer Tolner nara 


图 1-3 主机 抓 包 对 应 报 文 


8. 检查 PIM 配置 


如 果 发 现 IGMP 组 正常 ,主机 加 入 正常 .但 组 播 流 无 法 收 到 的 情况 ,查看 是 否 有 PIM 路 
由 ,检查 PIM 相关 配置 。 


01 公共 协议 1.2.2 IGMP-Snooping 故障 排查 > 
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01 公共 协议 1.2.2 IGMP-Snooping 故障 排查 ”5 可 详解 


1. 开始 

组 播 分 为 二 层 和 三 层 组 播 协 议 , 其 中 ,1IGMP-Snooping 是 运行 在 二 层 设 备 上 的 组 播 约束 
机 制 , 用 于 管理 和 控制 组 播 组 ,IGMP 负责 IP 组 播 成 员 管 理 , 用 来 在 IP 主机 和 与 其 直接 相 邻 
的 组 播 路 由 器 之 间 建 立 维护 组 播 组 成 员 关系 ,PIM-DM 和 PIM-SM 是 运行 在 路 由 器 之 间或 
三 层 交 换 机 之 间 的 三 层 组 播 路 由 协议 ,通过 单 播 路 由 协议 产生 相应 的 组 播 路 由 表 项 。 

IGMP-Snooping 协议 定位 故障 的 思路 是 : 先 查 组 信息 ,再 查 配置 ,最 后 查 报 文 。 

2. 查看 IGMP-Snooping 组 

查看 设备 的 IGMP-Snooping 组 信息 ,可 以 检查 对 应 接口 或 VLAN 是 否 作为 成 员 端口 加 
入 相应 组 播 组 。 

例如 : 通过 命令 查看 ,可 以 确认 GE6/0/1 端口 下 有 Host 加 入 组 播 组 225. 0. 0.1,VLAN 
为 100。 


MA: display igmp-snooping group vlan vlan-id verbose 


[H3C] display igmp-snooping group vlan 100 verbose 
Total 1 IP Group(s). 
Total 1 IP Source(s). 
Total 1 MAC Group(s). 


Port flags: D-Dynamic port, S-Static port, C-Copy port, P-PIM port 
Subvlan flags: R-Real VLAN, C-Copy VLAN 
Vlan(id) :100. 
Total 1 IP Group(s). 
Total 1 IP Source(s). 
Total 1 MAC Group(s) . 
Router port unit board: Mask(0x40) 
Router port(s) :total 1 port(s) . 
GE6/0/2 (D) 
IP group(s) :the following ip group(s) match to one mac group. 
IP group address:225.0.0.1 
(0.0.0.0, 225.0.0.1): 
Attribute: Host Board 
Host port unit board: Mask(0x40) 
Host port(s) :total 1 port(s) . 
GE6/0/1 (D) 
MAC group(s) : 
MAC group address:0100-5e00-0001 
Host port unit board: Mask(0x40) 
Host port(s) :total 1 port(s) . 
GE6/0/1 


3. 查看 组 是 否 包含 主机 接口 

查看 IGMP-Snooping 跟踪 的 主机 信息 ,检查 组 播 组 是 否 包含 正确 的 主机 接口 ,需要 在 全 
局 或 VLAN 内 使 能 主机 跟踪 功能 。 

命令 : display igmp-snooping host vlan vlan-id group group-address 
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例如 : 通过 命令 查看 ,可 以 确认 正在 接收 组 播 数据 的 成 员 主 机 信息 ,检查 主机 是 否 在 
GE6/0/1 F. 


[H3C] display igmp-snooping host vlan 100 group 225.0.0.1 
VLAN(ID) : 100 
(0.0.0.0, 225.0.0.1) 
Port : GE6/0/1 
Host Uptime Expires 
10.1.1.2 00:12:54 00:03:56 


如 果 想 要 在 设备 上 查看 主机 信息 ,需要 在 全 局 或 VLAN 内 使 能 主机 跟踪 功能 。 
例如 : 


[H3C-igmp-snooping] display this 
# 
igmp-snooping 
host-tracking 
# 


[H3C-vlan10] display this 
# 
vlan 10 
igmp-snooping enable 
igmp-snooping host-tracking 
# 


4. 检查 端口 协议 报 文 交互 

通过 在 主机 侧 抓 包 ,查看 当前 主机 的 成 员 报告 报 文 是 否 正常 发 送 , 设 备 是 否 正确 回应 , 协 
议 交 互 是 否 正常 。 

例如 : 通过 设备 上 debug IGMP-Snooping 报 文 ,可 以 看 到 设备 收 到 主机 发 来 的 加 入 /离开 
报 文 。 


<H3C>debugging igmp-snooping packet 

<H3C> terminal monitor 

The current terminal is enabled to display logs. 

<H3C> terminal debugging 

The current terminal is enabled to display debugging logs. 

<H3C> 

<H3C> * Jan 1 01:18:53:124 2011 H3C MCS/7/PACKET: Receive IGMPv2 report packet from| 
port XGE1/0/2 on VLAN 10. 

*Jan 1 01:18:53:125 2011 H3C MCS/7/PACKET: The IGMP packet which receive from port 
XGE1/0/2 on VLAN 10 on Main slot, forward it locally. 


<H3C> 
*Jan 101:23:01:672 2011 H3C MCS/7/PACKET: Receive IGMP leave packet from port XGE1/0/ 
2 on VLAN 10. 
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在 主机 侧 抓 包 ,能 抓 到 对 应 的 主机 发 出 的 加 入 /离开 报 文 ,如 图 1-4 和 图 1-5 所 示 。 
IP 为 1.1.1.2 的 主机 发 出 加 入 报 文 ,组 播 组 地 址 为 225. 1. 1. 1 。 
主机 离开 时 ,向 本 网 段 所 有 路 由 器 发 出 Leave Group 报 文 ,目的 地 址 为 224. 0. 0. 2。 


(Untitled) - Wireshark 
Eile Edit View Go Capture Analyze Statisties Help 


Sawa SXT S sea [ms an E 


Wo.. Tise Source Destination Protocol Info 


TECNET p 
240 TCP icg-bridge > telnet [ACK] seq=1 Ack=108 win=6485 


TELNET Telnet pata ... 
255 NBNS Name query NE KNS. DUBA, NET <00> 
240 TCP icg-bridge > telnet [ACK] seq=1 Ack=418 win=6454 
2 TELNET Telnet Data ... 
240 TEP icg-bridge > telnet [ACK] seq=1 Ack=685 win=6427 


1.1 IGMP v2 Membership Report / Join group 225.1.1.1 


a w rane n. 


1-4 对 应 主机 发 出 加 入 报 文 


Bile Rdit View Go Capture Analyze Statisties Help 
车 所 由 创 家 | 是 加 闭合 吕 | 人 全 全 加 村主 | aaam asmia g 


Bee: [ > Bepression. Cler Apply 


Wo. Time Source Destination Protocol Info 
1 0.000000 1.1.1.2 NBNS Name query NB KNS. DUBA. NET<00> 
2 0.745391 1.1.1.2 NBNS Name query NB KNS, DUBA, NET<00> 
3 LLR DUI 


1.495362 


V2 Membership Query 4 Join group 225.1.1.1 
v giw Query Z Join group 225.1.1.1 


Sp get -request RFC1213-MI 
TELNET Telnet Data .. 

IGMP V2 Membership Query / Join group 225.1.1.1 

NBNS Name query NB KNS. DUBA, NET<00> 

TCP icg-bridge > telnet [ACK] Seq=1 Ack=105 win=6532 


图 1-5 对 应 主机 发 出 离开 报 文 


3mib-2.25.3.2.1;5.1 RFCL 


5. 检查 IGMP-Snooping 配置 

检查 设备 是 否 在 全 局 使 能 了 IGMP-Snooping, 以 及 在 相应 的 VLAN 中 使 能 了 IGMP- 
Snooping。 检 查 当 前 IGMP-Snooping 版 本 的 配置 ,是 否 能 够 处 理 主机 侧 的 Report 报 文 。 

例如 : 默认 情况 下 ,IGMP-Snooping 的 版 本 为 2, 能 够 对 IGMPv1 和 IGMPv2 的 报 文 进行 
处 理 , 对 IGMPv3 的 报 文 则 不 进行 处 理 , 而 是 在 VLAN 内 将 其 广播 。 

命令 : igmp-snooping enable 


igmp-snooping version version-number 


[H3C-vlan100]display this 
# 
vlan 1 
# 
vlan 100 
igmp-snooping enable 
igmp-snooping version 3 


return 


6. 检查 组 播 组 过 滤 
检查 是 否 正 确 应 用 了 组 播 组 策略 ,在 全 局 或 接口 视图 下 查看 配置 。 
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MA: igmp-snooping group-policy acl-number [ vlan vlan-list | 


例如 : 通过 命令 查看 ,配置 的 组 播 组 策略 是 否 正确 。 


[H3C-igmp-snooping | display this 
# 


igmp-snooping 
group-policy 3000 vlan 100 
# 


return 


[H3C-GigabitEthernet6/0/1] display this 
# 


interface GigabitEthernet6/0/1 
port link-mode bridge 
port access vlan 100 


igmp-snooping group-policy 3000 vlan 100 
# 


查看 所 配置 的 ACL 规则 ,检查 其 是 否 与 所 要 实现 的 组 播 组 过 滤 策 略 相符 合 。 


MS: display acl acl-number 
例如 : 只 需要 过 滤 IP 地 址 为 225. 0. 0. 1 的 组 播 组 。 


[H3C] display acl 3000 


Advanced ACL 3000, named -none 2 rules, 
ACL's 


step is 5 


rule 0 deny ip destination 225.0.0.1 0 
rule 5 permit ip 


7. 查看 网 络 有 无 IGMP 查询 器 


在 一 个 没有 三 层 组 播 设备 的 网 络 中 ,需要 在 二 层 设备 上 使 能 IGMP-Snooping 查询 器 ,使 
二 层 设 备 能 够 在 数据 链 路 层 建 立 并 维护 组 播 转发 表 项 ,从 而 在 数据 链 路 层 正 常 转发 组 播 数据 。 
查看 全 网 设备 中 ,是 否 有 一 台 配 置 了 IGMP 的 三 层 组 播 路 由 器 充当 IGMP 查询 器 ,或 者 在 二 
层 设备 上 有 查询 器 配置 。 


MA: display current-configuration interface Vlan-inter face 


例如 : 在 连接 二 层 设备 的 接口 下 配置 了 IGMP。 


[H3C] display current-configuration interface Vlan-interface 
# 
interface Vlan-interface101 
ip address 2.1.1.1 255.255.255.0 
igmp enable 
# 


例如 : 在 二 层 设备 上 配置 了 查询 器 。 


[H3C-vlan10]display this 
# 
vlan 10 


igmp-snooping enable 
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igmp-snooping querier 
igmp-snooping general-query source-ip 1.1.1.1 
igmp-snooping special-query source-ip 1.1.1.1 
# 


return 


8. 检查 IGMP 查询 报 文 源 IP 地 址 


对 于 收 到 源 IP 地 址 为 0. 0. 0. 0 的 查询 报 文 的 端口 ,设备 不 会 将 其 设置 为 动态 路 由 器 端 


口 , 从 而 影响 数据 链 路 层 组 播 转发 表 项 的 建立 ,最 终 导 致 组 播 数据 无 法 正常 转发 , 当 由 二 层 设 
备 充当 IGMP-Snooping 查询 器 时 ,可 以 把 IGMP 查询 报 文 的 源 IP 地 址 配置 为 一 个 有 效 的 IP 


也 址 以 避免 上 述 问 题 的 出 现 。 


命令 : igmpsnooping general-query source-ip | ipaddress | current-inter face ) 


igmp-snooping special-query source-ip | ipaddress | current-inter face } 


例如 : 通过 命令 查看 ,可 以 确认 VLAN 内 配置 了 IGMP 普遍 组 和 特定 组 查询 报 文 源 IP 


也 址 。 


[H3C-vlan10]display this 
# 
vlan 1 
# 
vlan 10 
igmp-snooping enable 
igmp-snooping drop-unknown 
igmp-snooping querier 
igmp-snooping general-query source-ip 1.1.1.1 
igmp-snooping special-query source-ip 1.1.1.1 
# 


return 


9. 检查 组 播 组 协议 报 文 交互 
通过 在 主机 侧 抓 包 ,查看 当前 组 播 组 的 查询 报 文 是 否 正 常 发 送 ,主机 是 否 回应 ,协议 交互 


是 否 正 常 。 


例如 : 通过 设备 上 debug IGMP-Snooping 报 文 , 可 以 看 到 设备 正常 发 出 通用 查询 


报 文 。 


<H3C> 
*Jan 101:36:06:554 2011 H3C MCS/7/PACKET: Receive IGMPv2 general query packet from port] 


XGE1/0/1 on VLAN 10. 
*Jan 101:36:06:554 2011 H3C MCS/7/PACKET: The IGMP packet which receive from port 


XGE1/0/1 on VLAN 10 on Main slot, forward it locally. 
*Jan 101:36:06:554 2011 H3C MCS/7/PACKET: Broadcast general query packet which receive 


from port XGE1/0/1 on VLAN 10. 
*Jan 1 01:36:06: 554 2011 H3C MCS/7/PACKET: Succeed in broadcasting the packet on 


VLAN 10. 
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在 主机 上 抓 包 , 也 能 看 到 如 图 1-6 对 应 报 文 。 


Hile Edit View Go Capture Analyze Statistics Help — 
Bum xml s e so z [g aaa EEE) 


Eilter: [ > Bepressiom . Clear Apply 


No. [Time Source Destinstion Protocol Info 


29 11.255372 1.1.1.2 NBNS Name query NB KNS. DUBA, NET <00> 
30 11.999942 1.1.1.2 NBNS Name query NB KNS. DUBA, NET<00> 
31 12 zsz 111 MM Name query NE KNS DURA NET 


725478 y 
34 14.971132 TELNET Telnet pata ... 

35 15.000028 NENS Name query NB KNS. DUBA. NET<00> 

36 15.171783 TCP icq-bridge > telnet [ACK] seq=9 Ack=256 win-64908 Le 
37 15.172729 TELNET Telnet pata ... 

38 15.390694 1.1. TCP icg-bridge > telnet [ACK] Seq=9 Ack=614 Win=64550 Le 
39 15.391482 1.1 TELNET Telnet Data ... 

40 15.609272 1.1.1.2 TCP 1cg-bridge > telnet [ACK] seq=9 Ack=771 win=64393 Le 
41 15.750051 1.1.1.2 NBNS Name query NB KNS. DUBA. NET<00> 

42 17.254438 1.1.1.2 NENS Name query NB KNS. DUBA. NET<00> 

43 17.578182 1.1.1.2 IJGMP V2 Membership Report / Join group 225.1.1.1 

44 17.578211 1.1.1.2 55.250 IGMP v2 Membership Report / Join group 239.255.255.250 
As 17 aooora 1119 — Name moru NE VNE DIBA METZAAN 


1-6 主机 抓 包 对 应 报 文 


一 一 人 kit- 3 z$ 


===) kith kaia 


R4 


? x 
PIM-SM 故障 排查 


查看 PIw 路 由 Pa 


检查 PIM 配 四 
-至 性 


检查 RpF 挝 口 和 检查 Iowp 配 置 
除 由 一 致 此 


检查 rELo 报 文 
收发 


拨打 热线 
400-810-0504 寻 下 g s 
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公共 协议 1.2.3 PIM-SM 故障 排查 人 


1. 开始 

组 播 分 为 二 层 和 三 层 组 播 协议 ,其 中 ,IGMP-Snooping 是 运行 在 二 层 设备 上 的 组 播 约束 
机 制 ,用 于 管理 和 控制 组 播 组 ,IGMP 负责 IP 组 播 成 员 管 理 , 用 来 在 IP 主机 和 与 其 直接 相 邻 
的 组 播 路 由 器 之 间 建 立 .维护 组 播 组 成 员 关 系 ,PIM-DM 和 PIM-SM 是 运行 在 路 由 器 之 间或 
三 层 交换 机 之 间 的 三 层 组 播 路 由 协议 ,通过 单 播 路 由 协议 产生 相应 的 组 播 路 由 表 项 。 

PIM-SM 协议 定位 故障 的 思路 是 : 先 查 路 由 , 青 查 邻居 ,最 后 查 RP/BSR 等 配置 。 

2. 查看 PIM 路 由 

在 PIM-SM 中 ,RPT 树 开 始 转发 报 文 后 ,沿途 的 组 播 路 由 器 上 都 会 建立 对 应 的 (S,G) 表 
项 ,并 且 通 过 查看 组 播 路 由 表 , 如 果 有 接收 者 加 入 组 播 组 G, 则 从 RP 到 接收 者 侧 DR 路 径 上 
的 路 由 器 会 在 其 转发 表 中 生成 一 个 (* ,G) 表 项 。 

命令 : display pim routing-table [ group-address | 

例如 : 通过 命令 查看 当前 组 播 路 由 表 , 组 播 流量 经 过 的 所 有 路 由 器 都 有 组 播 组 225. 0. 0. 1 
的 (S,G) 表 项 存在 ,从 RP 到 接收 者 侧 DR 路 径 上 的 所 有 路 由 器 都 有 组 播 组 225. 0. 0. 1 的 
(xy G) 和 (S,G) 表 项 , 且 上 下 游 接口 信息 正确 。 


[H3C] display pim routing-table 225.0.0.1 
VPN-Instance: public net 
Total 1 ( * , G) entry; 1 (S, G) entry 


(*, 225.0.0.1) 
RP: 10.1.1.2 (local) 
Protocol: pim-sm, Flag: WC 
UpTime: 00:02:28 
Upstream interface: Register 
Upstream neighbor: NULL 
RPF prime neighbor: NULL 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: Vlan-interface101 
Protocol: igmp, UpTime: 00:02:28, Expires: - 


(1.1.1.10, 225.0.0.1) 
RP: 10.1.1.2 (local) 
Protocol: pim-sm, Flag: SPT 2MSDP ACT 
UpTime: 00:05:22 
Upstream interface: Vlan-interface100 
Upstream neighbor: 10.1.1.1 
RPF prime neighbor: 10.1.1.1 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: Vlan-interface101 
Protocol: pim-sm, UpTime: - , Expires: - 


3. 检查 IGMP 配置 
检查 在 需要 建立 和 维护 组 播 组 成 员 关 系 的 接口 上 是 否 使 能 了 IGMP., 
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命令 : display current-con figuration inter face 


[H3C] display current-configuration interface 
# 
interface Vlan-interface101 
ip address 2.1.1.1 255.255.255.0 
igmp enable 
# 


return 


4. 检查 组 播 数 据 过 滤 配 置 

检查 是 否 应 用 了 组 播 数据 过 滤 功 能 ,使 能 该 功能 的 路 由 器 将 按照 ACL 规则 对 流 经 自己 
的 组 播 数据 进行 过 滤 ,决定 是 否 继 续 转发 组 播 数据 。 

例如 : 通过 命令 查看 ,PIM 节点 下 的 过 滤 配 置 , 有 匹配 ACL 规则 号 3000 的 过 滤器 ,未 通 
过 匹配 的 报 文 会 被 丢弃 。 

命令 : PIM 节点 下 display this 


[H3C-pim] display this 
# 
pim 
source-policy 3000 
# 


return 


查看 所 配置 的 ACL 规则 ,检查 是 否 将 所 要 实现 的 组 播 组 或 邻居 进行 了 过 滤 。 
命令 : display acl acl-number 


例如 : 只 需要 过 滤 IP 地 址 为 225. 0. 0. 1 的 组 播 组 。 


[H3C]display acl 3000 

Advanced ACL 3000, named -none-, 2 rules, 
Statistics is enabled 

ACL's 


step is 5 
rule 0 deny ip destination 225.0.0.1 0 
rule 5 permit ip 


5. 检查 RPF 接口 和 路 由 一 致 性 


组 播 数据 由 直 连 组 播 源 的 第 一 跳 路 由 器 扩散 到 直 连 客户 端的 最 后 一 跳 路 由 器 。 无 论 组 播 
数据 扩散 到 哪 一 台 路 由 器 ,只 有 该 路 由 器 存在 到 达 组 播 源 的 路 由 , 才 会 创建 (S,G) 表 项 ,查看 
组 播 域 内 路 由 器 ,针对 组 播 源 到 RP 的 SPT 树 , 检 查 是 否 有 到 达 组 播 源 的 路 由 ,检查 RPF 接口 
和 到 达 组 播 源 的 单 播 路 由 的 下 一 跳 接口 是 否 一 致 。 针 对 RP 到 接收 者 的 RPT 树 ,检查 RPF 
接口 和 到 达 RP 的 单 播 路 由 的 下 一 跳 接口 是 否 一 致 。 

命令 : display ip routing-table ip-address 

例如 : 通过 命令 查看 ,可 以 确认 存在 到 达 组 播 源 的 路 由 1.1.1.0/24, 下 一 跳 是 10. 1.1.1, 
并 且 查 看 PIM 路 由 表 ,10. 1.1.1 是 RPF 邻居 接口 。 
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[H3C] display ip routing-table 1.1.1.1 
Routing Tables: Public 


Destinations : 7 Routes : 7 
Destination/Mask Proto Pre Cost NextHop Interface 
1.1.1.0/24 OSPF 10 2 10.1.1.1 Vlan100 


[H3C]display pim routing-tablel. 1.1.10 225.0.0.1 
VPN-Instance: public net 
Total 1 ( * , G) entry; 1 (S, G) entry 


(1.1.1.10, 225.0.0.1) 
RP: 10.1.1.2 (local) 
Protocol: pim-sm, Flag: SPT 2MSDP ACT 
UpTime: 00:05:22 
Upstream interface: Vlan-interface100 
Upstream neighbor: 10.1.1.1 
RPF prime neighbor: 10.1.1.1 


Downstream interface(s) information: 
Total number of downstreams: 1 
1: Vlan-interface101 
Protocol: pim-sm, UpTime: - , Expires: - 


6. 查看 PIM 邻居 信息 

查看 路 由 器 上 PIM 邻居 信息 ,检查 RPF 邻居 是 否 是 PIM 邻居 。 

MS: display pim neighbor 

例如 : 通过 命令 查看 ,可 以 确认 两 台 设备 互联 网 段 上 存在 PIM 邻居 , 且 是 RPF 邻居 。 


[H3C] display pim neighbor 
VPN-Instance: public net 
Total Number of Neighbors = 1 


Neighbor Interface Uptime Expires Dr-Priority Mode 
10.1.1.1 Vlan100 07:07:41 00:01:35 1 


7. 检查 HELLO 报 文 收 发 

通过 在 设备 上 debug, 检 查 PIM Hello 报 文 是 否 正常 交互 。 

例如 : 通过 debugging 命令 查看 PIM 邻居 交互 报 文 ,可 以 看 到 正常 发 出 Hello 报 文 , 也 能 
收 到 邻居 发 出 的 Hello 报 文 。 


<H3C> debugging pim neighbor 
<H3C> terminal monitor 

Info: Current terminal monitor is on. 
<H3C> terminal debugging 

Info: Current terminal debugging is on. 


CH3C] 
* May 30 14:18:17:991 2013 H3C PIM/7/NBR: (public net): PIM ver 2 HEL sending 2.1.1.1 -> 


224.0.0.13 on GigabitEthernet3/0/2 (P011695) 
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* May 30 14:18:18:011 2013 H3C PIM/7/NBR: (public net): Option: 1, length: 2 (P011730) 


* May 30 14:18:35:561 2013 H3C PIM/7/NBR: (public net): PIM ver 2 HEL receiving 2.1.1.2 -> 
224.0.0.13 on GigabitEthernet3/0/2 (P011695) 
* May 30 14:18:35:581 2013 H3C PIM/7/NBR: (public net): Option: 1, length: 2 (P011730) 


8. 检查 PIM 配置 一 致 性 
检查 RPF 接口 和 RPF 邻居 所 在 路 由 器 的 对 应 接口 上 是 否 使 能 了 相同 模式 的 PIM, 
MẸ: display pim inter face verbose 


例如 : 通过 命令 查看 ,可 以 确认 相关 接口 下 配置 了 PIM-SM。 


[H3C] display pim interface verbose 
VPN-Instance: public net 
Interface: Vlan-interface100, 10.1.1.2 
PIM version: 2 
PIM mode: Sparse 
PIM DR: 10.1.1.2 (local) 
PIM DR Priority (configured): 1 
PIM neighbor count: 1 


9. 查看 RP 信息 

RP 是 PIM-SM 的 核心 ,为 特定 的 组 服务 。 网 络 中 可 以 同时 存在 多 个 RP。 必 须 保 证 所 有 
路 由 器 的 RP 信息 完全 一 致 ,并 且 对 于 某 个 特定 的 组 映射 到 相同 的 RP, 和 否则 必然 导致 组 播 数 
据 转发 异常 。 如 果 使 用 静态 RP 机 制 ,必须 在 全 网 所 有 路 由 器 上 配置 完全 相同 的 静态 RP ñr 
令 。 如 果 通 过 配置 C-RP, 通 过 自 举 机 制 动 态 选举 RP, 则 必须 保证 C-RP 和 BSR 之 间 路 由 
可 达 


MA: display pim rp-info [ group-address ] 
例如 : 通过 命令 查看 路 由 器 上 的 RP 信息 ,可 以 看 到 公 网 实例 中 组 播 组 225. 0. 0. 1 对 应 的 
RP 地 址 为 10. 1. 1.1。 


[H3C]display pim rp-info 225.0.0.1 
VPN-Instance: public net 
BSR RP Address is: 10.1.1.1 
Priority: 192 
HoldTime: 150 
Uptime: 02:38:20 
Expires: 00:02:11 
RP mapping for this group is: 10.1.1.1 (local host) 


10. 检查 BSR 信息 

在 一 个 PIM-SM 域 中 只 能 有 一 个 BSR. 但 需要 配置 至 少 一 个 C-BSR。BSR 负责 在 PIM-SM 
域 中 收集 并 发 布 RP 信息 。 

MS: display pim bsr-in fo 

例如 : 通过 命令 查看 当前 路 由 器 上 的 BSR 信息 ,以 及 本 地 配置 并 生效 的 C-RP 信息 。 
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[H3C] display pim bsr-info 
VPN-Instance: public net 
Elected BSR Address: 10.1.1.1 

Priority: 64 

Hash mask length: 30 
State: Accept Preferred 
Scope: Not scoped 
Uptime: 00:18:21 
Expires: 00:01:59 


Candidate RP: 10.1.1.2(Vlan-interface100) 
Priority: 192 
HoldTime: 150 
Advertisement Interval: 60 
Next advertisement scheduled at: 00:00:39 
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1 公共 协议 > ,als Ó 1.3.1 MPLS L2VPN 故障 排查 步骤 详解 


1. 开始 

由 于 MPLSL2VPN 的 报 文 由 内 层 私 网 VC 标签 和 外 层 公 网 标签 构成 ,转发 主要 依赖 于 外 
层 LSP。 所 以 定位 故障 的 思路 是 : 先 查 VC 标签 ,再 查 公 网 标签 ; 先 查 远程 LDP Peer, 再 查 本 
地 LDP Peer。 

2. 流程 图 相关 操作 说 明 

(1) 查看 LDP Remote Peer 是 否 正常 

查看 本 端 PE 路 由 器 是 否 与 对 端 PE 正确 建立 远程 LDP Peer 关系 。 

命令 : display mpls ldp remote-peer 

例如 : 通过 命令 查看 ,可 以 确认 与 远 端 PE 正确 建立 Remote Peer 关系 。 


<H3C>display mpls ldp remote-peer 
LDP Remote Entity Information 
Remote Peer Name :1 
Remote Peer IP :10.10.10.2 LDP ID : 10.10.10.10:0 
Transport Address : 10.10.10.10 


Configured Keepalive Timer : 45 Sec 
Configured Hello Timer : 45 Sec 
Negotiated Hello Timer : 45 Sec 
Hello Message Sent/Revd : 307/304 (Message Count) 


(2) 确认 和 修改 LDP Remote Peer 配置 

在 两 端 PE 上 创建 ldp remote peer, 并 配置 对 端 PE 的 loopback 地 址 。 

例如 : Aa PE 上 创建 ldp remote peer 1, 指 定 对 端 PE 地 址 为 10. 10. 10. 2 ,命令 为 mpls 
ldp remote-peer 1 ,remote-ip 10. 10. 10.2。 


[H3C] display current-configuration 
# 
l2vpn 
mpls l2vpn 
# 
mpls ldp remote-peer 1 
remote-ip 10.10.10.2 
# 


return 


(3) 查看 VC 状态 是 否 Up 

分 别 查看 两 端 PE 路 由 器 的 mpls 12vc 连接 状态 是 否 Up, 本 端 和 远 端 VC Label 是 否 
正确 。 

命令 : display mpls l2vc 

例如 : 通过 命令 查看 ,可 以 确认 VC ID 为 101 的 L2VPN 状态 是 否 正常 。 
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<H3C>display mpls 12vc 

Total ldp vc :1 lup 0 down 0 blocked 

Transport Client Service VC Local Remote 
VC ID Intf ID State VC Label VC Label 
101 s0/2/1 -- Up 1025 1024 


(4) 确认 和 修改 两 端 VC ID 及 端口 L2VC 配置 

在 连接 CE 的 端口 上 配置 对 端 PE 的 loopback 地 址 和 VC ID, 而 且 两 端 PE 的 VC ID 必 
须 一 致 。 

例如 : 将 本 端 PE 的 Serial0/2/1 与 对 端 PE(10. 10. 10. 2) 建 立 L2VPN 连接 ,VC ID 为 
101 ,命令 为 mpls l2vc 10. 10. 10. 2 101 。 


<H3C>display current-configuration interface Serial0/2/1 
# 
interface Serial0/2/1 
mpls l2ve 10.10.10.2 101 
# 


(5) 查看 公 网 LSP 及 LDP PEER 是 否 正常 

查看 整个 LSP 上 的 所 有 设备 是 否 已 经 为 两 个 PE 的 loopback 地 址 正确 的 分 配 了 公 网 标 
签 ,以 及 LDP Peer 是 否 正常 。 

MS: display mpls lsp ,display mpls ldp peer 

例如 : 通过 命令 查看 ,可 以 确认 对 端 loopback 地 址 10. 10. 10. 2/32 的 公 网 标签 为 1024， 
LDP Peer 状态 正常 。 


<H3C>display mpls lsp 


FEC In/Out Label In/Out IF Vrf Name 
10.10.10.2/32 NULL/1024 — -/S0/2/0 


<H3C>display mpls ldp peer 
LDP Peer Information in Public network 
Total number of peers: 2 


Peer-ID Transport-Address Discovery-Source 


(6) 确认 和 修改 全 局 及 接口 MPLS LDP 配置 
在 两 端 PE 上 全 局 开启 MPLS 和 MPLS LDP, 并 在 接口 下 配置 MPLS 和 MPLS LDP, 
例如 : 本 端 PE 上 设置 mpls lsrid 10. 10. 10. 10, 全 局 和 接口 下 开启 MPLS 和 MPLS 


LDP ,命令 为 mpls.mpls ldp 。 


[H3C] display current-configuration 


# 
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mpls lsr-id 10.10.10.10 

# 

mpls 

# 

mpls ldp 

# 

interface Serial0/2/0 
mpls 
mpls ldp 

# 


(7) 查看 公 网 路 由 是 否 正确 
确认 是 否 在 公 网 LSP 途径 的 所 有 设备 上 都 存在 两 端 PE 的 loopback 地 址 精确 路 由 。 
MS: display ip routing-table 


例如 : 通过 命令 查看 ,可 以 确认 本 端 存在 去 往 对 端的 公 网 路 由 10. 10. 10. 2/32 ,下 一 跳 为 


192. 168: 1.2. 

<H3C>display ip routing-table 

Routing Tables: Public 

Destinations : 9 Routes : 9 

Destination/Mask Proto Pre Cost NextHop Interface 

10.10.10.2/32 OSPF 10 3124 10.10.1.2 S0/2/0 

(8) 确认 和 修改 公 网 IGP 配置 及 loopback 是 否 可 达 

是 否 通过 公 网 IGP 将 PE 的 loopback 地 址 的 路 由 发 布 出 去 。 

例如 : 公 网 IGP 使 用 OSPF 查看 OSPF 配置 ,确认 已 将 PE 的 loopback 地 址 10. 10. 10. 10 发 
布 进 公 网 OSPF 内 。 


[H3C] display current-configuration configuration ospf 
# 
ospf 100 
area 0.0.0.1 
network 10.10.10.10 0.0.0.0 
network 10.10.1.0 0.0.0.255 
# 
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01 公共 协议 > ows Y 1.3.2 BGP MPLS VPN 故障 排查 > sun d 


1. 开始 

由 于 BGP/MPLS VPN 的 报 文 转发 是 基于 LSP 的 ,而 LSP 是 依附 于 路 由 的 。 所 以 定位 
故障 的 思路 是 : 先 查 路 由 、 青 查 标签 ; 先 查 私 网 、 青 查 公 网 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 VPN 实例 路 由 

分 别 查 看 两 端 PE 路 由 器 的 vpn-instance 中 是 否 存 在 对 端 PE 的 VPN 路 由 。 

命令 : dis ip routing-table vpn-instance vpnl zx.x.X.X( 目 标 地 址 ) 

例如 : 通过 命令 查看 ,可 以 确认 存在 对 端 PE 的 VPN 路 由 200. 200. 200. 200/32, 下 一 跳 
Æ 3.3.3.3, 


<H3C>dis ip routing-table vpn-instance vpn1 200.200.200.200 
Routing Tables: vpnl 


Destinations : 3 Routes : 3 
Destination/Mask Proto Pre Cost NextHop Interface 
200.200.200.200/32 BGP 255 0 3.3.3.3 NULLO 


(2) 查看 BGP VPNv4 路 由 
查看 本 端 PE 路 由 器 的 是 否 已 经 正确 的 获得 BGP VPNv4 路 由 。 
命令 : display bgp vpnv4 all routing-table rx.ZX.. (目标 地 址 ) 
<0-32> /x. z. z. x KHE K EE / BJ HETS) 
例如 : 通过 命令 查看 ,可 以 确认 已 获得 VPNv4 路 由 一 一 200. 200. 200. 200, 且 私 网 标签 
为 1025。 


<H3C>display bgp vpnv4 all routing-table 200.200.200.200/32 


BGP local router ID : 1.1.1.1 
Local AS number : 100 


Route Distinguisher: 100:1 
Paths: 1 available, 0 best, 1 VPNv4 best 


BGP routing table entry information of 200.200.200.200/32: 
Label information (Received/ Applied) : 1025/ NULL 

From : 3.3.3.3 (3.3.3.3) 

Original nexthop : 3.3.3.3 

Ext-Community : <RT: 100:1> 


AS-path : (null) 

Origin : incomplete 

Attribute value : MED 0, localpref 100, pref-val 0, pre 255 
State : valid, internal, VPNv4 best, 


Not advertised to any peers yet 
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(3) 查看 MP-BGP 邻居 

确认 邻居 状态 机 是 否 达到 Established 状态 。 

MS: display bgp vpnv4 all peer 

例如 : 通过 命令 查看 ,可 以 确认 本 端 AS100 内 BGP 邻居 3. 3. 3. 3 状态 已 为 Established。 


<H3C>display bgp vpnv4 all peer 3.3.3.3 


BGP local router ID : 1.1.1.1 
Local AS number : 100 


Total number of peers : 1 Peers in established state : 1 


Peer AS MsgRevd MsgSent OutQ PrefRcv Up/Down State 


3.3.3.3 100 17 13 0 1 00:12:36 
Established 


(4) 查看 公 网 路 由 
确认 是 否 在 公 网 LSP 途径 的 所 有 设备 上 都 存在 对 端 PE 的 loopback 地 址 的 精确 路 由 ( 必 


须 是 32 位 掩 码 ) 。 
命令 : display ip routing-table 


例如 : 通过 命令 查看 ,可 以 确认 本 端 存在 去 往 对 端的 公 网 路 由 3. 3. 3. 3/32, 下 一 跳 为 
192. 168.1.2。 


<H3C>display ip routing-table 
Routing Tables: Public 


Destinations : 12 Routes : 12 
Destination/ Mask Proto Pre Cost NextHop Interface 
3.3.3.3/32 OSPF 10 4686 192.168.1.2 So/2/0 


(5) 查看 BGP 配置 
确认 在 VPNv4 地 址 族 下 是 否 正确 配置 了 BGP 邻居 关系 。 


命令 : display current-con figuration con figuration bg p 
例如 : 


<=H3C> display current-configuration configuration bgp 


# 
bgp 100 

undo synchronization 

peer 3.3.3.3 as-number 100 

peer 3.3.3.3 connect-interface LoopBack0 
# 

ipv4-family vpnv4 

peer 3.3.3.3 enable 
# 


(6) 检查 本 地 VPN 实例 RT 配置 
检查 本 地 VPN 实例 配置 中 RT 是 否 配 置 匹配 。 
命令 : display this(VPN 实例 地 址 族 下 执行 ) 


GN 公共 协议 47 


[H3C-vpn-instance-vpn1] display this 
# 


ip vpn-instance vpnl 
route-distinguisher 100:1 
vpn-target 100:1 export-extcommunity 
vpn-target 100:1 import-extcommunity 


# 


return 
(7) 检查 对 端 PE 与 CE 之 间 的 路 由 协议 
查看 对 于 每 个 vpnrinstance ,是否 将 该 vpn-instance 的 路 由 引入 到 MP-BGP 中 。 
命令 : display this (BGP 视图 下 ) 
例如 : 将 vpn-instance vpnl 的 OSPF 路 由 引入 到 MP-BGP 中 。 


[H3C-bgp] display this 

# 

bgp100 

peer1.1.1.1 as-number 100 


# 
ipv4-family vpn-instance vpnl 
import-route ospf 100 


# 


(8) 检查 公 网 IGP 配置 
是 否 通过 公 网 IGP 将 PE 的 loopback 地 址 的 路 由 发 布 出 去 。 
MA: display current-configuration con figuration osp f 


例如 : 公 网 IGP 使 用 OSPF, 查 看 OSPF 配置 ,可 以 确认 已 将 PE 的 loopback 地 址 1.1.1.1 发 
布 进 公 网 OSPF 内 。 


[H3C] display current-configuration configuration ospf 


# 
ospf 1 
area 0.0.0.0 
network 1.1.1.1 0.0.0.0 
# 


return 


(9) 查看 公 网 标签 
查看 整个 LSP 上 的 所 有 设备 是 否 已 经 为 两 个 PE 的 loopback 地 址 正确 的 分 配 了 公 网 


标签 。 
MS: display mpls lsp include zx.x.X.X( 目 标 地 址 ) 二 0-32 二 (网 络 掩 码 长 度 ) 


例如 : 通过 命令 查看 ,可 以 确认 已 正确 分 配 公 网 标签 1026。 


< H3C>4isplay mpls lsp include 3.3.3.3 32 


FEC In/Out Label In/Out IF Vrf Name 
3.3.3.3/32 NULL/1026 -/S0/2/0 
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(10) 查看 LDP 会 话 关系 

查看 两 台 相 邻 的 PE 或 P 路 由 器 之 间 是 否 正确 建立 了 LDP 邻居 会 话 关 系 。 
命令 : display mpls Id p session z. z. x.x 

例如 : 通过 命令 查看 ,可 以 确认 本 端 已 存在 LDP 邻居 3. 3. 3. 3:0。 


< H3C>4isplay mpls ldp session 3.3.3.3 


LDP Session(s) in Public Network 
Total number of sessions: 2 


Peer-ID Status LAM SsnRole FT MD5 KA-Sent/Rcv 


3.3.3.3:0 Operational DU Passive Off Off 318/319 


(11) 检查 MPLS K LDP 配置 
查看 该 设备 是 否 在 全 局 使 能 了 MPLS 和 LDP, 以 及 在 相应 的 接口 上 使 能 了 LDP。 


MA: display current-configuration 
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公共 协议 1.4 生成 树 协 议 1.4.1 MSTP 故障 排查 步骤 详解 


1. 开始 

MSTP 定位 故障 的 思路 是 按照 生成 树 的 工作 原理 : 先 确定 二 层 网 络 MSTP 的 运行 范 
围 ,再 确定 全 网 根 桥 及 域 根 的 一 致 性 ,确认 域 边界 ,然后 再 确定 每 一 台 参 与 MSTP 计算 的 网 
桥 的 端口 角色 是 否 正确 ,包括 在 CIST 和 MSTI 中 的 端口 角色 是 否 正 确 , 最 后 再 确定 各 类 
生成 树 保护 机 制 是 否 导 致 了 异常 端口 阻塞 ,业务 VLAN 是 否 贯 穿 全 网 ,是否 存在 可 能 的 
环 路 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 生成 树 状态 

大 量 的 交换 机 默认 情况 下 并 不 开启 生成 树 协议 ,因此 要 确认 每 一 台 网 桥 都 开启 了 生成 树 
功能 并 且 生成 树 协议 模式 为 MSTP。 

命令 : display stp 

例如 : 通过 命令 查看 正确 的 结果 。 


<H3C>display stp 
=== = [CIST Global Info] [Mode MSTP]------- 
CIST Bridge :32768.0023-8939-88b0 
Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
通过 命令 查看 错误 的 结果 。 
<H3C>disp stp 
Protocol Status :disabled 
Protocol Std. : IEEE 802. is 
Version :3 


(2) 查看 并 修改 生成 树 基 本 配置 
生成 树 的 基本 配置 包括 四 项 ,所 有 参与 生成 树 计算 的 网 桥 务必 保持 一 致 
MS: display current-configuration 


例如 : 通过 命令 查看 配置 。 


< H3C>4isplay current-configuration 
# 

stp enable // 使 能 生成 树 
# 


O 生成 树 模式 为 MSTP。 

CH3C]stp mode mst p 

MSTP 为 默认 模式 ,配置 不 显示 。 

© 生成 树 的 网 络 直 径 。 

LH3C] stp bridge-diameter diameter 

不 建议 进行 配置 ,使 用 默认 参数 7. 配置 不 显示 。 
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© 生成 树 的 时 间 参 数 。 

LH3C Jstp timer 

不 建议 进行 配置 ,使 用 默认 参数 ,配置 不 显示 。 

(3) 查看 根 桥 及 域 根 的 一 致 性 ,确定 域 边界 

查看 整个 二 层 网 络 中 相关 网 桥 的 总 根 桥 必须 为 同一 个 网 桥 ,在 同一 个 域内 每 个 MSTI 的 
域 根 为 同一 个 网 桥 。 

MS: display stp 

例如 : 通过 命令 查看 根 桥 的 结果 。 


<H3C>display stp 


CIST Bridge :32768.0023-8914-3ea9 

Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :0.0023-8939-88b0 / 20 

CIST RegRoot/IRPC :32768.0023-8914-3ea9 / 0 

<H3C>display stp instance 2 


MSTI Bridge ID 14096 . 0023-8914-3ea9 
MSTI RegRoot/IRPC :0.0023-8927-adf5 / 20 


要 求 所 有 网 桥 查 询 到 的 总 根 桥 必须 一 致 ,同一 域内 的 同一 MSTI 的 域 根 也 需要 一 致 ,确定 
域 边界 。 

在 域 边界 联 往 总 根 桥 的 接口 状态 查询 。 

MA: <H3C>display stp interface GigabitEthernet 1/0/2 


<H3C>display stp interface GigabitEthernet 1/0/2 
----[CIST] [Port2(GigabitEthernet1/0/2)] [FORWARDING]---- 


Port Protocol :enabled 

Port Role :CIST Root Port 

----[MSTI 1] [Port2(GigabitEthernetl/0/2)] [FORWARDING]---- 
Port Role :Master Port 

----[MSTI 2] [Port2(GigabitEthernet1/0/2)] [FORWARDING]---- 
Port Role :Master Port 


<H3C> display stp interface GigabitEthernet 2/0/2 
----[CIST] [Port91(GigabitEthernet2/0/2)] [DISCARDING]---- 


Port Protocol :enabled 
Port Role :CIST Alternate Port 

----[MSTI 1] [Port91(GigabitEthernet2/0/2)] [DISCARDING]---- 
Port Role :Alternate Port 

----LMSTI 2] [Port91(GigabitEthernet2/0/2)] [DISCARDING]---- 
Port Role :Alternate Port 


(4) 查看 各 网 桥 互联 接口 配置 

如 果 出 现 网 桥 总 根 桥 不 一 致 的 情况 ,需要 查看 根 桥 不 一 致 的 两 个 相 邻 网 桥 互 联 端口 状态 
及 配置 。 

D 确认 端口 STP 处 于 使 能 状态 。 

fh. display stp interface 


例如 : 
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<H3C>display stp interface GigabitEthernet1/0/1 


----[CIST] [Port] (GigabitEthernet1/0/1)] [FORWARDING]---- 
Port Protocol :enabled 


@ 确认 端口 未 处 于 单 通 状 态 。 对 于 域内 互联 的 两 个 接口 ,通过 显示 接口 的 BPDU 收发 报 
文 ,如 果 两 端口 都 在 发 ,其 中 只 有 一 端 收 到 , 则 说 明 存 在 单 通 现象 。 

对 于 域 间 互联 的 两 个 接口 ,通过 显示 接口 的 BPDU 收发 报 文 ,正常 情况 下 应 该 是 一 端 发 ， 
一 端 收 , 且 发 送 BPDU 的 端口 应 该 有 学 习 到 的 动态 MAC。 如 果 相 连 的 两 端口 都 在 发 送 
BPDU, 则 说 明 存在 单 通 现象 。 


<H3C>display stp interfaceGigabitEthernet1/0/1 
----[CIST] [Portl (GigabitEthernet1/0/1)] [FORWARDING]---- 


BPDU Sent :2199 
TCN: 0, Config: 0, RST: 0, MST: 2199 
BPDU Received :2295 


TCN: 0, Config: 0, RST: 0, MST: 2295 


@ 确认 端口 上 配置 未 启用 和 BPDU 相关 的 过 滤 功能 。 

命令 : [ H3C ]display current-con figuration interface GigabitEthernet 1/0/1 

@ 如 果 两 交换 机 之 间 还 联 有 其 他 二 层 设 备 ( 如 IPS.FW ,传输 设备 等 ), 需 要 确保 该 二 层 
设备 透 传 BPDU 报 文 。 可 以 在 交换 机 两 边 对 应 的 端口 上 启动 debug 功能 ,判断 收发 BPDU 报 
文 是 否 一 致 。 

MA: <H3C>debug stp packet inter face GigabitEthernet 1/2/0/18 verbose 

例如 : 


<H3C> debug stp packet interface GigabitEthernet 1/2/0/18 verbose 

* Jun 14 00:02:34:606 2013 H3C MSTP/7/PKT: -Chassis=1-Slot=2; 
Port114(GigabitEthernet1/2/0/18) Send Mstp-legacy Packet( Length: 103) 
00 00 03 02 6c 00 00 00 23 89 14 3e a9 00 00 00 

14 80 00 00 23 89 bd al 8a 80 72 01 00 Oc 00 02 

00 09 00 00 00 00 40 30 30 32 33 38 39 62 64 61 

31 38 61 00 00 00 00 00 00 00 00 00 00 00 00 00 

00 00 00 00 00 00 00 00 00 ac 36 17 7f 50 28 3c 

d4 b8 38 21 d8 ab 26 de 62 80 00 00 23 89 bd al 

8a 00 00 00 00 14 00 u d a 


@ 如 果 同 一 个 MSTP 域 被 意外 分 割 成 多 个 域 , 需 要 查询 MSTP region 配置 。 
命令 : [H3C]display current-con figuration 


# 

stp region-configuration 
region-name test // 同 一 域内 交换 机 配置 region-name 必须 相同 
instance 1 vlan 100 // 实 例 与 vlan 的 映射 关系 必须 相同 


instance 2 vlan 200 


active region-configuration // 修 改 配 置 后 必须 重新 执行 此 命令 ,使 修改 生效 
# 
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如 车 与 友 商 进行 MSTP 互通 ,需要 在 和 友 商 互联 接口 上 配置 摘要 侦 听 功能 。 

命令 : stp config-digest-snooping 

(5) 确认 端口 角色 

确认 相关 网 桥 上 相关 端口 角色 是 否 正常 。 对 于 MSTP 来 说 ,同一 个 端口 在 不 同 的 MSTI 
中 角色 很 可 能 不 同 。 

重点 是 排查 出 现 故障 的 相关 vlan( 不 论 是 断路 还 是 环 路 ) 所 经 过 的 路 径 的 相关 端口 在 对 应 
的 MSTI 中 角色 是 否 与 预期 一 致 

MA: [ H3C ]display stp interface GigabitEthernet2/0/1 

如 下 命令 中 显示 ,端口 2/0/1 在 CIST 中 作为 根 端口 ,在 MST 中 作为 根 端口 ,而 在 
MSTI2 中 作为 指定 端口 。 


[H3C]display stp interface GigabitEthernet 2/0/1 

----[CIST] [Port90(GigabitEthernet2/0/1)] [FORWARDING]---- 
Port Protocol :enabled 
Port Role :CIST Root Port 

----[MSTI 1] [Port90(GigabitEthernet2/0/1)] [FORWARDING]---- 
Port Role :Root Port 

----[MSTI 2] [Port90(GigabitEthernet2/0/1)] [FORWARDING]---- 
Port Role : Designated Port 


(6) 查看 并 修改 链 路 开销 标准 ,确认 接口 工作 模式 ,确定 异常 阻塞 端口 

D 查看 网 桥 上 stp 链 路 开销 标准 的 配置 是 否 一 致 ,正确 选 路 的 前 提 是 全 网 标准 一 致 。 
H3C 交换 机 支持 dotld .dotlt 和 legacy 三 种 标准 。 默 认 是 legacy 标准 ,属于 H3C 公司 私 
和 友 商 进行 互通 时 建议 使 用 dotlt 标准 。 

MS: display stp 

例如 : 通过 命令 查看 ,可 以 确认 本 网 桥 选用 的 stp 链 路 开销 标准 。 


[H3C]display stp 


CIST Bridge :32768.0023-8927-adf5 

Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC  :0.0023-8939-88b0 / 20 

CIST RegRoot/IRPC :32768.0023-8914-3ea9 / 20 

CIST RootPortId :128.90 

BPDU-Protection :disabled 

Bridge Config- 

Digest-Snooping :disabled 

TC or TCN received :47 

Time since last TC :0 days 0h:7m:48s 


----[Port90(GigabitEthernet2/0/1)] [FORWARDING]---- 


Port Protocol :enabled 
Port Role :CIST Root Port 
Port Priority :128 


Port Cost(Legacy) :Config=auto / Active=20 


修改 stp 链 路 开销 标准 命令 : [ H3C ]stp pathcost-standard dotlt 
@ 查看 相关 网 桥 互联 接口 的 工作 模式 (速度 和 双 工 模式 ) ,确认 工作 在 预 设 定 状态 。 
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MS: display inter face GigabitEthernet 1/0/1 


<H3C>display interface GigabitEthernet 1/0/1 
GigabitEthernet1/0/1 current state: Up 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0023-8939-88d2 
Description: GigabitEthernet1/0/1 Interface 
Loopback is not set 
Media type is twisted pair, Port hardware type is 1000_BASE_T 
1000Mbps-speed mode, full-duplex mode 


O 查看 是 否 有 相关 端口 处 于 异常 阻塞 状态 。 如 果 端 口 处 在 异常 阻塞 状态 ,说明 网 络 曾经 
发 生 过 异常 。 异 常 阻塞 通常 与 生成 树 的 几 种 保护 机 制 相关 。 

以 下 为 根 保护 机 制导 致 的 端口 异常 阻塞 。 

命令 : display stp inter face GigabitEthernet 1/0/1 


[H3C-GigabitEthernet1/0/1] display stp interface GigabitEthernet 1/0/1 
----[CIST] [Port1 (GigabitEthernet1/0/1)] [FORWARDING]---- 
Port Protocol :enabled 
Port Role :CIST Designated Port 
Protection Type :Root 
----[MSTI 1] [Port] (GigabitEthernet1/0/1)] [FORWARDING]---- 
Port Role : Designated Port 
----[MSTI 2] [Port] (GigabitEthernet1/0/1)] [DISCARDING] ---- 
Port Role : Designated Port 
[H3C-GigabitEthernet1/0/1] 


从 端口 统计 上 看 ,端口 在 MSTI2 中 的 角色 是 Designated Port. fB H + DISCARDING 状 
态 , 属 于 异常 阻塞 。 再 看 保护 类 型 属于 根 保护 ,初步 判断 是 有 更 高 优先 级 的 网 桥 连接 所 致 。 

查看 历史 告警 记录 。 

MA: < H3C- display logbuf fer reverse 


<H3C>display logbuffer reverse 
# Apr 26 14:31:17:544 2000 H3C MSTP/1/RGSUp: hwPortMstiRootGuarded: Instance 2's 


ROOT-Protection port 2. 9437184 received superior message! 
% Apr 26 14:31:17:714 2000 H3C MSTP/4/MSTP_ROOT_PROTECTION: Instance 2's 


ROOT-Protection port GigabitEthernet1/0/1 received superior BPDUs. 


从 告警 记录 上 看 ,确实 在 MSTI2 中 收 到 了 更 高 优先 级 BPDU 导致 MSTI2 中 的 报 文 转发 
状态 处 于 DISCARDING 状态 。 
以 下 为 环 路 保护 导致 的 端口 异常 阻塞 。 


[H3C]display stp interface GigabitEthernet 1/0/1 
----[CIST] [Port1 (GigabitEthernet1/0/1)] [FORWARDING]---- 


Port Protocol :enabled 
Port Role :CIST Designated Port 
了 Protection Type :Loop 


----[MSTI 1] [Portl(GigabitEthernetl/0/1)] [FORWARDING]---- 
Port Role :Designated Port 
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----[MSTI 2] [Portl(GigabitEthernetl/0/1)] [DISCARDING]---- 
Port Role : Designated Port 


告警 信息 : 


<H3C>disp logbuffer reverse 
# Apr 26 14:40:37:641 2000 H3C MSTP/1/LGEXP: hwPortMstiLoopGuarded: Instance 2's 


LOOP-Protection port 2.9437184 did not receive message! 
% Apr 26 14:40:37:811 2000 H3C MSTP/5/MSTP_BPDU_RECEIVE_EXPIRY: Instance 2's 


Port GigabitEthernet1/0/1 received no BPDU within the rcvdInfoWhile interval. Information of the port 
aged out. 


% Apr 26 14:40:38:042 2000 H3C MSTP/6/MSTP_DISCARDING: Instance 2's 


GigabitEthernet1/0/1 has been set to discarding state. 
% Apr 26 14:40:38:192 2000 H3C MSTP/4/MSTP_LOOP_PROTECTION: Instance 2's 


LOOP-Protection port GigabitEthernet1/0/1 failed to receive configuration BPDUs 


以 下 为 BPDU 保护 导致 的 端口 异常 Down 状态 。 


[H3C]display stp interface GigabitEthernet 1/0/2 


----[CIST] [Port2(GigabitEthernetl/0/2)] [Down]---- 


Port Protocol :enabled 

Port Role :CISTDisabled Port 

Port Priority :128 

Port Edged :Config= enabled / Active= enabled 


BPDU-Protection :enabled 


告警 信息 : 


# Apr 29 12:16:27:266 2000 H3C MSTP/1/IVBPDU : hwPortMstiBpduGuarded: BPDU-Protection| 
port 2 received BPDU packet! 
% Apr 29 12:16:27:406 2000 H3C MSTP/2/IVBPDU: BPDU-Protection port GigabitEthernet1/0/2 
received BPDU packet! 

% Apr 29 12:16:27:536 2000 H3C IFNET/4/LINK UPDOWN: 
GigabitEthernet1/0/2: link status is Down 


以 下 为 单 端口 环 路 导致 的 端口 异常 DISCARDING 状态 。 


[H3C-GigabitEthernet1/0/2]disp stp int gi 1/0/2 


----[CIST] [Port2(GigabitEthernetl/0/2)] [DISCARDING]---- 


Port Protocol :enabled 
Port Role :CISTDesignated Port 
Port Edged :Config= enabled / Active= disabled 


Protection Type :None 
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告警 信息 : 


% Apr 29 13:37:54:227 2000 H3C MSTP/2/PDISC: Instance 0's 


GigabitEthernet1/0/2 has been set to discarding state! 
% Apr 29 13:37:54:368 2000 H3C DRVDBG/4/LOG Info: 
Loopback does exist on port GigabitEthernet1/0/2 vlan 1, please check it 


(7) 检查 业务 VLAN 是 否 贯 穿 全 网 ( 仅 指 该 业务 vlan 需要 覆盖 到 的 网 桥 ) 

查看 出 现 故障 的 业务 vlan, 进 行 端 到 端的 全 部 路 径 的 查询 。 其 中 ,在 MSTP 域内 需要 根 
据 对 应 的 MSTI 进行 路 径 查 询 。 需 要 确认 以 下 内 容 。 

O 转发 路 径 上 每 一 个 端口 (网 桥 互 连 端 口 ) 上 正确 配置 了 相应 的 业务 VLAN, 

MA: [ H3C ]display interface GigabitEthernet 1/0/1 


[H3C]display interface GigabitEthernet 1/0/1 
GigabitEthernet1/0/1 current state: Up 
PVID: 1 
Mdi type: auto 
Port link-type: trunk 

VLAN passing : 1(default vlan), 100-110 
VLAN permitted: 1(default vlan), 100-110 
Trunk port encapsulation: IEEE 802. 1q 


@ 转发 路 径 上 每 一 个 端口 (网 桥 互 连 端口 ) 上 正确 学 习 到 了 相关 MAC, 且 多 次 查看 MAC 
是 否 频繁 迁移 。 


MA: [H3C] display mac-address z=z=zz-zzzz-zzzra= 


[H3C] display mac-address 0000-0000-0021 
MAC ADDR VLANID STATE PORT INDEX AGING TIME(s) 
0000-0000-0021 100 LEARNED GigabitEthernet1/0/2 AGING 

--- 1 MAC address(es) found --- 
[H3C] display mac-address 0000-0000-0021 
MAC ADDR VLANID STATE PORT INDEX AGING TIME(s) 
0000-0000-0021 100 LEARNED  GigabitEthernet1/0/1 AGING 


--- 1 MAC address(es) found --- 
[H3C] 


如 果 存 在 频繁 的 业务 MAC 飘移 , 则 很 可 能 存在 环 路 问题 。 需 要 进行 环 路 的 追踪 。 追 踪 
的 原则 是 判断 业务 MAC 正常 情况 下 应 该 从 哪个 端口 收 到 ,那么 从 其 他 的 端口 收 到 则 可 能 是 
环 路 的 端口 。 通 常用 display 看 到 的 端口 就 是 发 生 环 路 的 端口 。 

@ 查看 转发 路 径 上 每 一 个 端口 (网 桥 互 连 端口 ) 上 的 流量 统计 情况 ,重点 关注 端口 收发 报 
文 占用 带宽 的 百分比 ,组 播 和 广播 流量 大 小 。 
命令 : [ H3C ]display interface GigabitEthernet 1/0/1 


[H3C]display interface GigabitEthernet 1/0/1 
GigabitEthernet1/0/1 current state: Up 

Port priority: 0 
Peak value of input: 108553678 bytes/sec, at 2000-04-29 07:15:01 
Peak value of output: 108553647 bytes/sec, at 2000-04-29 07:15:01 


攻关 公共 协议 57 


Last 300 seconds input: 822376 packets/sec 108553662 bytes/sec 100% 
Last 300 seconds output: 822375 packets/sec 108553630 bytes/sec 100% 
Input (total) : 453736361 packets, 59892409109 bytes 
0 unicasts, 453604531 broadcasts, 131834 multicasts 
Input (normal): 453736365 packets, 59892409109 bytes 
0 unicasts, 453604531 broadcasts, 131834 multicasts 
Input: 0 input errors, 0 runts, 0 giants, 0 throttles 
0 CRC, 0 frame, 0 overruns, 0 aborts 
0 ignored, 0 parity errors 
Output (total) : 453585222 packets, 59873409459 bytes 
0 unicasts, 453579906 broadcasts, 5326 multicasts, 0 pauses 
Output (normal) : 453585232 packets，59873409459 bytes 
0 unicasts，453579906 broadcasts, 5326 multicasts, 0 pauses 
Output: 0 output errors, 0 underruns, 0 buffer failures 
0 aborts, 0 deferred, 0 collisions, 0 late collisions 
0 lost carrier, 0 no carrier 


[H3C] 


从 端口 统计 数据 看 出 ,如果 端口 收发 数据 的 百分比 超过 90%, 并 且 广 播 和 组 播 数据 占据 
绝 大 部 分 比例 时 ,很 可 能 存在 环 路 。 需 要 追踪 此 类 端口 来 判断 环 路 路 径 。 判 断 方式 是 在 环 路 
路 径 上 的 端口 收发 的 广播 /组 播 数据 量 都 很 大 ,未 在 环 路 路 径 上 的 端口 仅 发 方向 的 广播 /组 播 
流量 大 。 


查看 SIP 状态 


确认 说 
To 


# 412 S 
MEE : 
# 4 3 
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公共 协议 1.4 生成 树 协议 1.4.2 RSTP 故障 排查 步骤 详解 


1. 开始 

RSTP 定位 故障 的 思路 是 按照 生成 树 的 工作 原理 : 首先 确定 二 层 网 络 RSTP 的 运行 范 
围 ,其 次 确定 全 网 根 桥 的 一 致 性 ,再 次 确定 每 一 台 参 与 RSTP 计算 的 网 桥 的 端口 角色 是 否 正 
确 , 最 后 再 确定 各 类 生成 树 保护 机 制 是 否 导致 了 异常 端口 阻塞 ,业务 VLAN 是 否 贯穿 全 网 ,是 
否 存在 可 能 的 环 路 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 生成 树 状态 

确认 每 一 台 网 桥 都 开启 了 生成 树 功 能 并 且 生 成 树 协议 模式 为 RSTP。 

命令 : display stp 

例如 : 通过 命令 查看 正确 的 结果 是 : 


<H3C>display stp 
------- [CIST Global Info] [Mode RSTP]------- 
CIST Bridge :32768.0023-8939-88b0 
Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
通过 命令 查看 错误 的 结果 是 : 
<H3C>display stp 
Protocol Status :disabled 
Protocol Std. : IEEE 802. 1s 
Version :3 


(2) 查看 并 修改 生成 树 基 本 配置 
生成 树 的 基本 配置 包括 四 项 ,所 有 参与 生成 树 计算 的 网 桥 务必 保持 一 致 
MS: display current-configuration 


例如 : 通过 命令 查看 配置 。 


<H3C>display current-configuration 


stp mode rstp // 生 成 树 模式 为 RSTP 
stp enable // 使 能 生成 树 
# 


Q@ 生成 树 的 网 络 直径 。 

LH3C |] stp bridge-diameter diameter 

不 建议 进行 配置 ,使 用 默认 参数 。 

© 生成 树 的 时 间 参 数 。 

CH3C] stp timer 

不 建议 进行 配置 ,使 用 默认 参数 。 

(3) 查看 根 桥 的 一 致 性 

查看 整个 二 层 网 络 中 相关 网 桥 的 根 桥 必须 为 同一 个 网 桥 。 
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命令 : display stp 
例如 : 通过 命令 查看 根 桥 的 结果 。 


< H3C>4isplay stp 


CIST Bridge :32768.0023-8939-88b0 
Bridge Times : Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :0.0023-8914-3ea9 / 20 


要 求 所 有 网 桥 查 询 到 的 根 桥 必须 一 致 
(4) 查看 各 网 桥 互联 接口 配置 
如 果 出 现 网 桥 根 桥 不 一 致 的 情况 ,需要 查看 根 桥 不 一 致 的 两 个 相 邻 网 桥 互联 端口 状态 及 


配置 。 


D 确认 端口 STP 处 于 使 能 状态 。 


命令 : display stp inter face GigabitEthernet 1/0/1 
例如 : 


<H3C>display stp interface GigabitEthernet 1/0/1 


----[CIST] [Port] (GigabitEthernet1/0/1)] [FORWARDING]---- 
Port Protocol :enabled 


@ 确认 端口 未 处 于 单 通 状 态 。 通 过 显示 接口 的 BPDU 收发 报 文 , 正 常情 况 下 应 该 是 一 端 
发 一 端 收 , 且 发 送 BPDU 的 端口 应 该 有 学 习 到 的 动态 MAC。 如 果 相 连 的 两 端口 都 在 发 送 


BPDU , 则 说 明 存 在 单 通 现象 。 


MS: display stp interface GigabitEthernet 1/0/1 


<H3C>display stp interface GigabitEthernet 1/0/1 
----[CIST] [Port] (GigabitEthernet1/0/1)] [FORWARDING]---- 


BPDU Sent :1152 
TCN: 0, Config: 0, RST: 1137, MST: 15 
BPDU Received :39568 


TCN: 0, Config: 0, RST: 39562, MST: 6 


@ 确认 端口 上 配置 未 启用 和 BPDU 相关 的 过 滤 功 能 。 
MA: [ H3C ]display current-con figuration interface GigabitEthernet 1/0/1 
@ 如 果 两 交换 机 之 间 还 联 有 其 他 二 层 设备 (如 IPS、FW .传输 设备 等 ), 需 要 确保 该 二 层 


设备 透 传 BPDU 报 文 。 


可 以 在 交换 机 两 边 对 应 的 端口 上 启动 debug 功能 .判断 收发 BPDU 报 文 是 否 一 致 。 


MA: <H3C>debug stp packet inter face GigabitEthernet 1/2/0/18 verbose 
例如 : 


<H3C> debug stp packet interface GigabitEthernet 1/2/0/18 verbose 
* Jun 13 23:38:26:540 2013 H3C MSTP/7/PKT: -Chassis=1-Slot=2; 
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Port114(GigabitEthernet1/2/0/18) Send Rstp Packet(Length: 36) 
00 00 02 02 2c 00 00 00 23 89 14 3e a9 00 00 00 

14 80 00 00 23 89 bd a1 8a 80 72 01 00 0c 00 02 

00 09 00 00 


(5) 确认 端口 角色 
确认 相关 网 桥 上 相关 端口 角色 是 否 正常 。 
重点 是 排查 出 现 故障 的 相关 vlan( 不 论 是 断路 还 是 环 路 ) 所 经 过 的 路 径 的 相关 端口 角色 是 


否 与 预期 一 致 。 


MS: display stp interface GigabitEthernetl /0/1 
例如 : 通过 命令 查看 ,该 端口 目前 角色 (root port) 及 所 处 状态 (FORWARDING)。 


<H3C> display stp inter face GigabitEthernet1/0/1 
----[CIST] [Port1 (GigabitEthernet1/0/1)] [FORWARDING]---- 


Port Protocol :enabled 
Port Role :CIST Root Port 
Port Priority :128 


Port Cost(Legacy) :Config=auto / Active=20 
Desg. Bridge/Port :0.0023-8914-3ea9 / 128.2 


(6) 查看 并 修改 链 路 开销 标准 ,确认 接口 工作 模式 ,确定 异常 阻塞 端口 
O 查看 网 桥 上 stp 链 路 开销 标准 的 配置 是 否 一 致 ,正确 选 路 的 前 提 是 全 网 标准 一 致 。 


H3C 交换 机 支持 dotld、dotlt 和 legacy 三 种 标准 。 默 认 是 legacy 标准 ,属于 H3C 公司 私有 ， 
和 友 商 进行 互通 时 建议 使 用 dotlt 标准 。 


MA: [LH3C ]display st p 
例如 : 通过 命令 查看 ,可 以 确认 本 网 桥 选用 的 stp 链 路 开销 标准 。 


[H3C]display stp 


CIST Bridge :32768.0023-8939-88b0 

Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :0.0023-8914-3ea9 / 20 

CIST RegRoot/IRPC :32768.0023-8939-88b0 / 0 

CIST RootPortId :128.1 

BPDU-Protection :disabled 

Bridge Config- 

Digest-Snooping :disabled 

TC or TCN received :30 

Time since last TC  :0 days 20h:42m:42s 


----[Port1 (GigabitEthernet1/0/1)] [FORWARDING]---- 


Port Protocol :enabled 
Port Role :CIST Root Port 
Port Priority :128 


Port Cost(Legacy) :Config=auto / Active 一 20 


修改 stp 链 路 开销 标准 命令 : [ H3C ]stp pathcost-standard dotlt 
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© 查看 相关 网 桥 互联 接口 的 工作 模式 (速度 和 双 工 模式 ) ,确认 工作 在 预 设 定 状态 。 
命令 : < H3C> display interface Gigabitethemet 1/0/1 


<H3C>display interface Gigabitethernet1/0/1 
GigabitEthernet1/0/1 current state: Up 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0023-8939-88d2 
Description: GigabitEthernet1/0/1 Interface 
Loopback is not set 
Media type is twisted pair, Port hardware type is 1000_BASE_T 
1000Mbps-speed mode, full-duplex mode 


O 查看 是 否 有 相关 端口 处 于 异常 阻塞 状态 。 如 果 端 口 处 在 异常 阻塞 状态 ,说明 网 络 曾经 
发 生 过 异常 。 异 常 阻塞 通常 与 生成 树 的 几 种 保护 机 制 相关 。 

以 下 为 根 保护 机 制导 致 的 端口 异常 阻塞 。 

MS: display stp interface GigabitEthernetl /0/1 


<H3C>display stp interface GigabitEthernet1/0/1 


----[CIST] [Port1 (GigabitEthernet1/0/1)] [DISCARDING]---- 


Port Protocol :enabled 

Port Role :CISTDesignated Port 
Protection Type :Root 

<H3C> 


从 端口 统计 上 看 ,端口 角色 是 Designated Port, 但 处 于 DISCARDING 状态 ,属于 异常 阻 
塞 。 再 看 保护 类 型 属于 根 保护 ,初步 判断 是 有 更 高 优先 级 的 网 桥 连 接 所 致 。 

查看 历史 告警 记录 。 

命令 : <H3C>display logbu f fer reverse 


<H3C>display logbuffer reverse 
% Apr 29 10:32:49:322 2000 H3C MSTP/4/MSTP_ROOT_PROTECTION: Instance 0's 


ROOT-Protection port GigabitEthernet1/0/2 received superior BPDUs. 
% Apr 29 10:32:49:152 2000 H3C MSTP/6/MSTP_DISCARDING: Instance 0's 


GigabitEthernet1/0/2 has been set todiscarding state. 
% Apr 29 10:32:49:002 2000 H3C MSTP/4/MSTP_ROOT_PROTECTION: Instance 0's 


ROOT-Protection port GigabitEthernet1/0/1 received superior BPDUs. 


从 告警 记录 上 看 ,确实 有 更 高 优先 级 的 网 桥接 和 网络 导致 根 保护 端口 处 于 DISCARDING 
以 下 为 环 路 保护 导致 的 端口 异常 阻塞 。 


[H3C]display stp interface GigabitEthernet 1/0/1 


----[CIST] [Port] (GigabitEthernet1/0/1)] [DISCARDING]---- 
Port Protocol :enabled 
Port Role :CISTDesignated Port 

Protection Type :Loop 
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告警 信息 : 


<H3C>4isp logbuffer reverse 
% Apr 29 11:59:11:132 2000 H3C MSTP/2/BPDURCVDEXPIRY: Instance 0's 


Port GigabitEthernet1/0/1 received no message within the rcvdInfoWhile interval. Information of the 
port wasaged out. 


% Apr 29 11:59:11:393 2000 H3C MSTP/2/PDISC: Instance 0's 


GigabitEthernet1/0/1 has been set to discarding state! 
% Apr 29 11:59:11:563 2000 H3C MSTP/2/LGEXP:Instance0's 


LOOP-Protection port GigabitEthernet1/0/1 did not receive message! 


以 下 为 BPDU 保护 导致 的 端口 异常 Down 状态 。 


[H3C]display stp interface GigabitEthernet 1/0/2 


----[CIST] [Port2(GigabitEthernetl/0/2)] [Down]---- 


Port Protocol :enabled 
Port Role :CISTDisabled Port 
Port Priority :128 
Port Edged :Config= enabled / Active= enabled 
BPDU-Protection :enabled 
告警 信息 : 


# Apr 29 12:16:27:266 2000 H3C MSTP/1/IVBPDU : hwPortMstiBpduGuarded: BPDU-Protection| 
port 2 received BPDU packet! 
% Apr 29 12:16:27: 406 2000 H3C MSTP/2/IVBPDU: BPDU-Protection port GigabitEthernet1/0/2 
received BPDU packet! 

% Apr 29 12:16:27:536 2000 H3C IFNET/4/LINK UPDOWN: 
GigabitEthernet1/0/2: link status is Down 


以 下 为 单 端口 环 路 导致 的 端口 异常 DISCARDING 状态 。 


[H3C-GigabitEthernet1/0/2]disp stp int gi 1/0/2 


----[CIST][Port2(GigabitEthernetl/0/2)] [DISCARDING]---- 


Port Protocol :enabled 

Port Role :CISTDesignated Port 

Port Edged :Config 一 enabled / Active= disabled 
Protection Type :None 

告警 信息 : 


% Apr 29 13:37:54:227 2000 H3C MSTP/2/PDISC: Instance 0's 


GigabitEthernet1/0/2 has been set to discarding state! 
% Apr 29 13:37:54:368 2000 H3C DRVDBG/4/LOG Info: 
Loopback does exist on port GigabitEthernet1/0/2 vlan 1, please check it 


(7) 检查 业务 vlan 是 否 贯 穿 全 网 ( 仅 指 该 业务 vlan 需要 覆盖 到 的 网 桥 ) 
查看 出 现 故障 的 业务 vlan ,进行 端 到 端的 全 部 路 径 的 查询 。 需 要 确认 以 下 内 容 。 
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O 转发 路 径 上 每 一 个 端口 (网 桥 互 连 端 口 ) 上 正确 配置 了 相应 的 业务 VLAN。 
MA: [H3C]display interface GigabitEthernet 1/0/1 


[H3C]display interface GigabitEthernet1/0/1 
GigabitEthernet1/0/1 current state: Up 
PVID: 1 
Mdi type: auto 
Port link-type: trunk 
VLAN passing : 1(default vlan), 100-110 
VLAN permitted: 1(default vlan), 100-110 
Trunk port encapsulation: IEEE 802. 1q 


O 转发 路 径 上 每 一 个 端口 (网 桥 互 连 端口 ) 上 正确 学 习 到 了 相关 MAC, 且 多 次 查看 MAC 
是 否 频繁 迁移 。 
MA: [H3C] display mac-address =<z=zz-zzzz-zzrzrzr 


[H3C]display mac-address 0000-0000-0021 
MAC ADDR VLANID STATE PORT INDEX AGING TIME(s) 
0000-0000-0021 100 LEARNED  GigabitEthernet1/0/2 AGING 

--- 1 MAC address(es) found --- 
CH3C] display mac-address 0000-0000-0021 
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 
0000-0000-0021 100 LEARNED  GigabitEthernet1/0/1 AGING 


--- 1 MAC address(es) found --- 
CH3C] 


如 果 存 在 频繁 的 业务 MAC 飘移 , 则 很 可 能 存在 环 路 问题 。 需 要 进行 环 路 的 追踪 。 追 踪 
的 原则 是 判断 业务 MAC 正常 情况 下 应 该 从 哪个 端口 收 到 ,那么 从 其 他 的 端口 收 到 则 可 能 是 
环 路 的 端口 。 通 常用 display 看 到 的 端口 就 是 发 生 环 路 的 端口 。 

@ 查看 转发 路 径 上 每 一 个 端口 (网 桥 互 连 端口 ) 上 的 流量 统计 情况 ,重点 关注 端口 收发 报 
文 占用 带宽 的 百分比 ,组 播 和 广播 流量 大 小 。 

MA: [H3C ]display interface GigabitEthernet 1/0/1 


[H3C]display interface GigabitEthernet 1/0/1 
GigabitEthernet1/0/1 current state: Up 
Port priority: 0 
Peak value of input: 108553678 bytes/sec, at 2000-04-29 07:15:01 
Peak value of output: 108553647 bytes/sec, at 2000-04-29 07:15:01 
Last 300 seconds input: 822376 packets/sec 108553662 bytes/sec 100% 
Last 300 seconds output: 822375 packets/sec 108553630 bytes/sec 100% 
Input (total) : 453736361 packets, 59892409109 bytes 
0 unicasts, 453604531 broadcasts, 131834 multicasts 
Input (normal): 453736365 packets, 59892409109 bytes 
0 unicasts, 453604531 broadcasts, 131834 multicasts 
Input: 0 input errors, 0 runts, 0 giants, 0 throttles 
0 CRC, 0 frame, 0 overruns, 0 aborts 
0 ignored, 0 parity errors 
Output (total) : 453585222 packets, 59873409459 bytes 
0 unicasts, 453579906 broadcasts, 5326 multicasts, 0 pauses 
Output (normal) : 453585232 packets, 59873409459 bytes 
0 unicasts, 453579906 broadcasts, 5326 multicasts, 0 pauses 
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Output: 0 output errors, 0 underruns, 0 buffer failures 
0 aborts, 0 deferred, 0 collisions, 0 late collisions 
0 lost carrier, 0 no carrier 


[H3C] 


从 端口 统计 数据 看 出 ,如 果 端 口 收发 数据 的 百分比 超过 90% ,并 且 广播 和 组 播 数据 占 据 
绝 大 部 分 比例 时 ,很 可 能 存在 环 路 。 需 要 追踪 此 类 端口 ,来 判断 环 路 路 径 。 判 断 方式 是 在 环 路 
路 径 上 的 端口 收发 的 广播 /组 播 数据 量 都 很 大 ,未 在 环 路 路 径 上 的 端口 仅 发 方向 的 广播 /组 播 
流量 大 。 


路 由 技术 


线 缆 及 线路 排查 


接口 配置 排查 


拨打 热线 
400-910-0504 A- £ # 助 
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02 路 由 技术 2.1 接口 管理 2.1.1 串口 故障 排查 > 


1. 开始 

串口 问题 需 关 注 接口 当前 状态 及 线路 信号 检测 ,问题 多 集中 在 线 缆 及 设备 互通 性 上 ,定位 
故障 的 思路 是 : 首先 查看 接口 状态 ,检查 线 缆 与 线路 ,最 后 排查 设备 双方 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 接口 打 环 排查 

通过 打 环 命令 来 测试 接口 是 否 异 常 ,如 果 打 环 后 接口 物理 不 能 Up 或 者 接口 物理 Up 但 


是 收发 包 不 一 致 , 那 么 可 判断 为 接口 硬件 问题 , 打 环 前 需 清空 接口 计数 器 统计 信息 。 
命令 : loopback 


清空 计数 器 命令 : reset counters interface interface-type interface-number 
例如 : 串口 视图 下 使 用 打 环 命令 ,接口 会 提示 Up, 此 时 查看 接口 的 收发 包 一 致 。 


清空 接口 计数 器 统计 内 容 
<H3C> reset counters interface serial 6/0 


设备 端口 打 环 测试 
[H3C-Serial6/0]loopback 
%May 15 13:58:42:106 2013 ASBR2 IFNET/3/LINK_UPDOWN: Serial6/0 link status is Up. 
[H3C-Serial6/0]display interface serial6/0 
Serial6/0 current state: Up 
Line protocol current state: Down 
Description: Serial6/0 Interface 
Input: 12 packets, 156 bytes 
0 broadcasts, 0 multicasts 
0 errors, 0 runts, 0 giants 
0 CRC, 0 align errors, 0 overruns 
0 dribbles, 0 aborts, 0 no buffers 
0 frame errors 
Output:12 packets, 156 bytes 
0 errors, 0 underruns, 0 collisions 
0 deferred 
DCD=Down DTR=Down DSR=Down RTS=Down CTS=Down 


(2) 线 缆 及 线路 排查 

华 三 通信 设备 需要 配备 华 三 通信 的 专 有 接口 线 缆 , 线 缆 分 为 DCE 与 DTE 线 缆 ,接口 类 型 
随 线 缆 类 型 确定 ,与 传输 及 对 端 设备 互联 时 需 保 证 接口 类 型 匹配 。 华 三 通信 与 运营 商 对 接 多 
使 用 DTE 线 缆 ,如 图 2-1 所 示 为 华 三 通信 的 DTE 线路 。 


2-1 华 三 通信 的 DTE 线路 
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接口 状态 显示 中 包括 中 5 种 信号 检测 ,具体 如 表 2-1 所 示 。 


[R1]display interface Serial 6/0 

Serial6/0 current state: Up 

Line protocol current state: Up 

Description: Serial6/0 Interface 

Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0 
Physical layer is synchronous, Virtual baudrate is 64000 bps 
Interface is DTE, Cable type is V35, Clock mode is DTECLK1 


DCD=Up DTR=Up DSR=Up RTS=Up CTS=Up 


R21 接口 状态 
DTR Data Terminal Ready DTE 准备 好 
DSR Data Set Ready DCE 准备 好 
RTS Request to Send 请 求 发 送 
CTS Clear To Send 准备 发 送 
DCD Digital Carrier Detector 载波 检测 
DTR 和 DSR 是 第 一 握手 信号 ,表示 本 端 设 备 和 对 端 设备 的 基本 状态 。RTS、CTS 为 第 二 


握手 信号 ,常用 于 流 控 使 用 ,同步 串口 物理 Up 的 条 件 是 : 接口 持 的 是 我 司 电缆 ,同时 DSR, 
DCD 有 效 。DSR 与 DCD 无 法 Up 则 可 能 为 运营 商 侧线 路 原因 导致 。 

(3) 配置 排查 

查看 串口 的 配置 ,确定 是 否 正确 地 配置 了 串口 的 相关 协商 参数 ,串口 无 法 Up 一 般 与 接口 
时 钟 配置 有 关 , 可 以 尝试 修改 接口 时 钟 类 型 与 对 于 接收 发 送 时 钟 做 反 转 测试 。 

MS: display inter face serial interface-number 

例如 : 通过 命令 查看 串口 配置 ,确保 两 端 串口 的 时 钟 是 否 匹配 。 

DTE 侧 设备 

LDTE] display interface Serial 6/0 


Serial6/0 current state: Up 
Line protocol current state: Up 


Interface is DTE，Cable type is V35, Clock mode is DTECLK1 


DCE 侧 设备 

[DCE] display interface Serial 5/0 
Serial5/0 current state: Up 

Line protocol current state: Up 


Interface is DCE, Cable type is V35, Clock mode is DCECLK1 


==") kuti tags 


持 口 物理 状态 


接口 物理 


代数 排查 


拨打 热线 
400-310-0504 2 F- + Ify 
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02 路 由 技术 2.1.2 E1 接口 故障 排查 步骤 详解 


1. 开始 
常见 的 El 模块 问题 为 接口 物理 无 法 Up, 错 包 较 多 ,其 主要 原因 为 接口 收 到 线路 告警 ,或 


共 地 不 良 引 起 。 因 此 El 模块 定位 故障 的 思路 是 : 首先 检查 板 卡 硬件 ,然后 排查 线路 ,接着 排 
查 物 理 参数 ,最 后 检查 设备 使 用 环境 。 


2. 流程 图 相关 操作 说 明 
(1) 接口 硬件 排查 
E1 接口 的 物理 故障 排查 可 通过 打 环 进行 测试 的 ,观察 接口 物理 是 否 Up, 并 观察 逻辑 串口 


上 的 收发 报 文 是 否 一 致 ,如 果 一 致 可 以 初步 排除 板 卡 硬 件 问题 。 需 注意 的 是 在 查看 之 前 要 清 


= 


-下 接口 的 收发 包 , 打 本 地 环 时 ,接口 不 能 接线 缆 , 以 防线 路 对 环 回 接口 影响 。 
El 板 卡 命令 : loopback local 

El-F 板 卡 命令 : fel loopback local 

清空 计数 器 命令 : reset counters inter face inter face-type inter face-number 


例如 : 通过 命令 对 于 El 板 卡 打 环 , 查 看 接口 状态 ,可 检测 到 环 回 , 且 接口 Up 、 收 发包 一 


致 ,可 排除 接口 卡 硬件 故障 。 


在 本 端 设备 上 配置 打 环 

[H3C] controller e11/0 

[H3C-E11/0] loopback local 

<H3C>reset counters interface serial 1/0:0 


在 本 端 设备 上 查看 接口 状态 
[H3C-E11/0]display interface serial 1/0:0 
Seriall/0:0 current state: Up 
Line protocol current state: Down 
Link layer protocol is PPP, loopback is detected 
Input: 24 packets, 312 bytes 
0 broadcasts, 0 multicasts 
0 errors, 0 runts, 0 giants 
0 CRC, 0 align errors, 0 overruns 
0 dribbles, 0 aborts, 0 no buffers 
0 frame errors 
Output:24 packets, 312 bytes 
0 errors, 0 underruns, 0 collisions 
0 deferred 


(2) 线路 排查 

查看 线 缆 是 否 与 板 卡 类 型 匹配 , 线 缆 阻 抗 与 接口 阻抗 是 否 匹配 ,建议 使 用 我 司 标准 线 缆 。 
El 板 卡 命令 : display controller E1 inter face-number 

E1-F 板 卡 命令 : display fel serial inter face-number 

例如 : 通过 命令 查看 到 El 1/0 接口 需 使 用 120 KRH. 


[H3C]display controller E1 1/0 
E1 1/0/0 current state : Up 
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Description : El 1/0/0 Interface 
Basic Configuration: 
Work mode is El framed, Cable type is 120 Ohm balanced. 


通过 远 端 环 回 测试 线路 质量 , 远 端 环 回 需 要 远 端 设备 设置 环 回 , 然 后 在 本 端 设备 上 查看 接 
口 是 否 能 检测 到 环 回 ,同时 查看 接口 收发 包 是 否 一 致 ,查看 前 需 使 用 命令 先 清空 接口 计数 器 。 

El 板 卡 命令 : loopback remote 

El-F 板 卡 命令 : fel loopback remote 

清空 计数 器 命令 : reset counters inter face inter face-type inter face-number 

例如 : 在 远 端 设备 相对 应 的 El 接口 下 配置 远 端 环 回 ,在 本 端 查看 接口 状态 ,可 检测 到 环 
回 , 且 接 口 Up、 收 发 包 一 致 , 则 可 排除 线路 问题 。 
在 远 端 设 备 上 配置 打 环 


[H3C] controller e11/0 
[H3C-E11/0] loopback remote 


在 本 端 设备 上 查看 接口 状态 
<H3C>reset counters interface serial 1/0:0 
[H3C-E11/0] display interface serial 1/0:0 
Seriall/0:0 current state: Up 
Line protocol current state: Down 
Link layer protocol is PPP, loopback is detected 
Input: 24 packets, 312 bytes 
0 broadcasts, 0 multicasts 
0 errors, 0 runts, 0 giants 
0 CRC, 0 align errors, 0 overruns 
0 dribbles, 0 aborts, 0 no buffers 
0 frame errors 
Output:24 packets, 312 bytes 
0 errors, 0 underruns, 0 collisions 
0 deferred 


线路 排查 时 ,可 以 要 求 运营 商 逐 段 打 环 测试 ,确认 线路 故障 出 现 节点 。 

(3) 接口 物理 参数 排查 

通过 命令 确认 两 端 接 口 下 是 否 有 告警 ,如 果 有 告警 ,根据 告警 内 容 检查 端口 配置 与 传输 设 
备 及 远 端 设备 是 否 一 致 

El 板 卡 命令 : display controller E1 inter face-number 

E1-F 板 卡 命令 : display fel serial inter face-number 

例如 : 通过 命令 查看 两 端 El 接口 的 硬件 参数 是 否 一 致 。 是 否 存在 告警 ,接口 是 否 存在 错 
包 , 显 示 信 息 包括 工作 模式 (成 帧 或 非 成 帧 )、 帧 格式 .CRC 校 验方 式 、 编 码 格式 、 线 路 空闲 码 、 
帧 间 填 充 符 、 时 钟 . 告 警 信息 接口 错 包 类 型 。 注 意 El 板 卡 配置 时 钟 时 ,两 台 对 接 设 备 的 接口 
时 钟 为 一 主 一 从 。 


[H3C] display controller E1 2/0 

E1 2/0 current state: Up 

Description : E1 2/0 Interface 

Basic Configuration: 

Work mode is E1 framed, Cable type is 75 Ohm unbalanced. 
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Frame-format is no-crc4. 

Line code is hdb3, Source clock is slave. 

Idle code is 7e, Itf type is 7e, Itf number is 4. 

Loop back is not set. 

Alarm State: 

Receiver alarm state is None. 

Historical Statistics: 

Last clearing of counters: Never 

Data in current interval (150 seconds elapsed) : 

0 Loss Frame Alignment Secs, 0 Framing Error Secs, 
0 CRC Error Secs, 0 Alarm Indication Secs, 0 Loss-of-signals Secs, 
0 Code Violations Secs, 0 Slip Secs, 0 E-Bit error Secs. 


(4) 环境 排查 

使 用 El 接口 对 设备 环境 存在 要 求 , 主 要 为 电源 环境 ,要 求 路 由 器 与 传输 设备 共 地 。 共 地 
不 良 , 对 接 设备 基准 电压 不 同 , 数 据 的 收发 和 各 种 信号 的 检测 不 在 一 个 电压 平台 上 ,会 出 现 本 
端 发 送 的 数据 与 对 端 接收 的 数据 不 一 致 ,导致 收发 出 现 错 包 或 协议 Up/Down 的 现象 。 
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02 路 由 技术 2.1 接口 管理 步骤 详解 


1. 开始 

3G 接 入 问题 定位 故障 的 思路 是 : 先 确 认 3G 板 卡 是 否 被 识别 .USIM 卡 是 否 欠 费 、 信 号 强 
度 正常 ,再 确认 路 由 器 3G 相关 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 3G 板 卡 是 否 识别 

确认 3G 板 卡 对 应 的 TTY 接口 。 

MS: display user-interface 


例如 : 通过 命令 查看 ,可 以 看 到 Cellular0/0 对 应 TTY 13 接口 。 


[H3C] display user-interface 


Idx Type Tx/Rx Modem Privi Auth Int 
Fo CON 0 9600 = 3 N < 
13 TIY I3 9600 = 0 N Cellular0/0 
177 AUX 0 9600 = 0 P. = 
1782 VTV O = 1 A =: 
179 MTEL Š 11 A = 


在 3G 板 卡 对 应 的 TTY 接口 下 配置 呼 人 呼出 权限 。 
命令 : modem both 
例如 : 配置 TTY 接口 13 为 呼出 权限 。 


[H3C] user-interface tty 13 
[H3C-ui-tty13] modem both 


确认 路 由 器 是 否 识别 3G 板 卡 。 
MS: display cellular inter facenumber all 


例如 : 通过 命令 查看 ,可 以 确认 路 由 器 已 识别 3G 板 卡 ,型 号 为 E176G。 


[H3C] display cellular 0/0 all 

Modem State: 

Hardware Information 

Model = F176G 

Modem Firmware Version = 11.604.09.00.00 

Hardware Version= CD25TCPU 

International Mobile Subscriber Identity (IMSI) = 460029010431055 
International Mobile Equipment Identity (IMEI) = 353871020138548 
Factory Serial Number (FSN) = DK9RAA1871500602 

Modem Status = Online 


(2) 3G 板 卡 是 否 支持 

参考 路 由 器 当前 版 本 的 版 本 说 明 书 中 3Gmodem 的 型 号 支持 列表 内 容 确认 。 
(3) USM 卡 是 否 欠 费 

可 以 向 运营 商 确认 USIM 上 网 卡 是 否 欠 费 。 
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(4) 确认 信号 强度 

查看 路 由 器 当前 所 处 位 置 的 信号 强度 ,信号 强度 范围 一 110dBm 一 一 51dBm:, 正 常 使 用 信 
号 范围 : 一 85dBm 一 一 51dBm, 越 接近 一 51dBm 信号 越 好 。 
MS: display cellular interfacenumber all 


例如 : 通过 命令 查看 ,可 以 看 到 当前 信号 强度 为 一 61dBm。 


[H3C] display cellular 0/0 all 


Radio Information 


Current Band = ANY 
Current RSSI = —61 dBm 


(5) 查看 3G 相关 配置 

查看 配置 ,确保 3G modem 允许 拨 和 拨 出 ,用户 名 密码 ,拨号 串 、.APN 等 参数 正确 。 

说 明 : 

© TD-SCDMA 和 WCDMA 网 络 的 拨号 串 是 “x* 99 # ”, CDMA2000 网 络 的 拨号 串 是 
ET”. 

© 保证 配 有 下 一 跳 为 Cellular 接口 的 路 由 。 

© 保证 APN 接 入 点 配置 正确 。(APN 由 运营 商 提供 ,默认 情况 下 为 自动 获取 的 模式 ,如 
果 在 其 他 配置 均 正确 的 情况 下 3G 拨号 依然 不 成 功 , 则 需要 联系 当地 运营 商 确认 APN 是 否 与 
设备 当前 配置 的 一 致 。) 

MA: display current-con figuration 

例如 : 通过 命令 查看 3G 配置 的 用 户 名 为 card, 密 码 为 card( 被 加 密 ) RE RA 99H, 
user-interface 13 已 经 允许 呼 入 呼出 。 


[H3C] display current-configuration 
# 
interface Cellular0/0 
async mode protocol 
link-protocol ppp 
// 由 于 不 确认 运营 商 使 用 的 加 密 方 式 ,因此 建议 本 端 同时 配置 chap 和 pap 两 种 方式 
ppp chap user card 
ppp chap password cipher IFB7 * Q ^N)UCQ=^Q'MAF4<1!! 
ppp pap local-user card password cipher IFB7 * Q ^N)UCQ=^Q'MAF4<1!! 
// 配 置 apn AAA 3gnet, 接 入 点 ,用户 名 、 密 码 、 验 证 方式 等 都 需要 向 运营 商 确认 
profile create 1 static 3gnet authentication-mode chap user card password card 
ppp ipcp dns request 
ip address ppp-negotiate 
dialer enable-circular 
dialer-group 1 
dialer timer idle 60 
dialer number * 99 # // 配 置 拨号 串 
nat outbound 
# 
// 配 置 指向 cellular 接口 的 路 由 
ip route-static 0.0.0.0 0.0.0.0 Cellular0/0 
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# 
dialer-rule 1 ip permit 


user-interface tty 13 
modem both 
# 


// 定 义 拨号 访问 组 工 允 许 IP 协议 的 报 文通 过 


//tty 接口 下 要 配置 modem both 
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1. 开始 

DHCP Server 定位 故障 的 思路 是 : 先 查 DHCP 的 配置 ,再 查看 是 否 存在 可 用 IP 地 址 , 然 
后 查看 内 部 网 络 是 否 正常 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 DHCP Server 配置 

查看 当前 DHCP Server 配置 ,主要 包括 使 能 DHCP, 地 址 池 配 置 。 

MS: display current-con figuration 

Oa 使 能 DHCP Server 功能 。 

[H3C ldhcp enable 

© 配置 DHCP Server 地 址 池 , 

[H3C ] dhcp server ip-pool X [extended] 

例如 : 通过 命令 查看 ,可 以 确认 已 使 能 DHCP; 并 配置 了 DHCP 地 址 池 1, 可 分 配 的 地 址 
段 为 172. 31. 123. 10-172. 31. 123. 20 , 掩 码 为 255. 255. 255. 0 ,网关 为 172. 31. 123. 1 。 


[H3C] display current-configuration 
# 
dhcp enable 
# 
dhcp server ip-pool 1 extended 
network ip range 172.31.123.10 172.31.123.20 
network mask 255.255.255.0 
gateway-list 172.31.123.1 


(2) 查看 可 用 地 址 

查看 DHCP Server 地 址 池 是 否 有 可 用 地 址 。 

MS: display dhcp server free-ip 

例如 : 通过 命令 查看 ,可 以 确认 172.31. 123.10 至 172. 31. 123. 20 地 址 还 未 使 用 。 


[H3C] display dhcp server free-ip 
IP Range from172.31.123.10 to 172.31.123.20 


(3) 增加 可 用 IP 地 址 数量 

如 DHCP Server 地 址 池 无 可 用 地 址 , 则 可 增加 DHCP 地 址 池 的 IP 地 址 范围 ,以 此 增加 该 
DHCP 地 址 池 的 可 用 地 址 数量 。 

命令 : network ip range min-address max-address 


例如 : 通过 命令 查看 ,可 以 确认 172. 31. 123. 10 至 172. 31. 123. 20 地 址 还 未 使 用 。 


< H3C> system-view 

[H3C] dhcp server ip-pool 0 extended 

[H3C-dhcp-pool-1] network ip range 172.31.123.10 172.31.123.70 // 地 址 池 范 围 由 172.31.123.10| 
至 172.31.123.20 增 大 为 172.31.123.10 至 172.31.123.70 
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(4) 查看 内 部 网 络 

如 无 DHCP 中 继 , 则 需要 排查 内 部 二 层 网 络 ; 如 果 有 DHCP 中 继 , 则 还 需要 排查 中 继 设 
备 与 DHCP 服务 器 之 间 三 层 网 络 是 否 可 达 。 

O 排查 二 层 网 络 。 确 认 PC DHCP Server/DHCP Relay 之 间 是 否 可 达 , 步 又 如 下 。 

PC 配置 一 个 与 DHCP Server/DHCP Relay 同 网 段 的 IP 地 址 (注意 不 要 和 其 他 地 址 冲 
突 ) ,然后 将 DHCP Server/DHCP Relay 作为 网 关 , 使 用 PC 来 ping DHCP Server/DHCP 
Relay, 确 认 是 否 能 够 ping 通 。 

@ 排查 三 层 网 络 。 确认 DHCP Relay 与 DHCP Server 之 间 是 否 可 达 , 步 骤 如 下 。 

分 别 在 DHCP Relay 上 ping DHCP Server, DHCP Server 上 ping DHCP Relay, 看 看 是 
否 存在 ping 不 通 , 或 者 单 通 的 现象 。 


* 
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1. 开始 

NAT Outbound 定位 故障 的 思路 是 : 先 查 NAT Session ,再 查看 是 否 能 匹配 NAT, 然 后 
查看 内 部 网 络 是 否 正 常 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 NAT Session 

查看 NAT 设备 上 NAT Session 是 否 正 常 建立 。 

MA: display nat session 


例如 : 通过 命令 查看 ,当前 NAT 设备 已 存在 一 条 TCP 协议 的 NAT Session, 


[H3C] display nat session 
There are currently 1 NA T sessions: 


Pro GlobalAddr: Port LocalAddr: Port DestAddr: Port 
TCP 10.1.1.1:31391 172.31.123.20:49161 10.1.1.2:5938 
GlobalVPN: --- LocalVPN: --- 
status: 1 TTL: 00:05:00 Left: 00:04:16 


(2) 是 否 能 匹配 NA T 

首先 查看 接口 下 的 NAT 是 否 有 ACL 过 滤 ,如果 有 ACL 过 滤 ,确认 报 文 是 否 符合 ACL 
内 容 ; 如 果 没 有 ACL 过 滤 , 则 表示 所 有 的 流量 都 能 匹配 到 NAT, 

命令 : display current-con figuration inter face inter face-type inter face-number 

例如 : 通过 命令 查看 ,可 以 确认 interface Ethernet0/0 接口 配置 的 NAT Outbound 有 
ACL 过 滤 。 


[H3C] display current-configuration interface Ethernet0/0 


interface Ethernet0/0 

port link-mode route 

nat outbound 2000 

ip address 10.1.1.1 255.255.255.0 
# 


return 


命令 : display acl acl-number 
例如 : 通过 命令 查看 ,可 以 确认 ACL 2000 规则 中 只 允许 172. 31. 123. 0/24 网 段 进 行 NAT 。 


[H3C]display acl 2000 
Basic ACL 2000, named -none-, 2 rules, 
ACL's 


step is 5 
rule 0 permit source 172.31.123.0 0.0.0.255 (3 times matched) 
rule 1000 deny 


(3) 检查 内 部 网 络 
检查 访问 者 设备 与 NAT 网 关 是 否 路 由 可 达 , 通 常 可 采用 ping 的 方式 来 判断 。 
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1. 开始 

NAT-PT 是 在 IPv4 网 络 完全 演变 到 IPv6 网 络 之 前 ,通过 映射 将 IPv6 和 IPv4 地 址 进行 
相互 转化 从 而 互通 的 一 种 过 渡 性 技术 。NAT-PT 机 制 有 静态 映射 ,动态 映射 和 NAPT-PT。 
实现 过 程 为 : 判断 是 否 转换 ,转换 源 IP, 转 换 目 的 IP, 转 发 报 文 并 记录 映射 关系 ,根据 记录 的 
映射 关系 转发 应 答 报 文 。NAT-PT 的 故障 排查 思路 是 : 先 检 查 NAT-PT 会 话 , 再 检查 配置 是 
和 否 正 确 ,最 后 检查 网 络 状 态 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 NAT-PT 会 话 

查看 NAT-PT 设备 上 的 NAT-PT 会 话 类 型 和 地 址 转换 情况 ,判断 会 话 是 否 正常 建立 。 

命令 : display natpt session all 

例如 : 通过 命令 查看 ,当前 NAT-PT 设备 上 已 经 成 功 建立 了 一 条 NAT-PT 会 话 。Pro 项 
ICMP 代表 NAT-PT 会 话 的 类 型 为 ICMP。 会 话 的 IPv6 源 地 址 为 2001::0002 被 转换 为 IPv4 
源 地 址 09. 0. 0. 10。 会 话 的 IPv6 目的 地 址 为 3001::0800:0002, 被 转换 为 IPv4 目的 地 址 
08.0.0.2。 此 时 可 以 判断 源 和 目的 地 址 都 成 功 转换 ,会 话 已 经 正常 建立 。 


[H3C] display natpt session all 
NATPT Session Info: 


No IPV6Source IPV4Source Pro 
IPV6Destination IPV4Destination 
1 2001::0002 ^ 09.0.0.10 * 1$. ICMP. 
3001 : :0800:0002 ^ 008.0.0.2 CRS 


(2) 检查 配置 信息 

分 别 查看 NAT-PT 设备 ,IPv4 侧 设备 和 IPv6 侧 设备 配置 信息 。 确 保 IPv6 侧 设备 和 
NAT-PT 设备 使 能 IPv6,NAT-PT 设备 NAT-PT 前 级 、ACL 和 地 址 映射 配置 正确 ,接口 下 已 
使 能 NAT-PT。 

MS: display current-con figuration con figuration system 

例如 : 通过 命令 查看 路 由 器 IPv6 已 使 能 ,NAT-PT 匹配 方式 为 前 级 匹配 。 地 址 池 和 前 级 
已 配置 ,两 侧 接口 下 NAT-PT 已 使 能 。 地 址 映射 为 IPv6 侧 动态 映射 ,端口 不 转换 。 


[H3C] display current-configuration configuration system 


sysname H3C 


# 

domain default enable system 

# 

ipv6 //IPV6 已 使 能 
# 

natpt address-group 1 9.0.0.10 9.0.0.19 // 地 址 池 配 置 
natpt prefix 3001:: // 地 址 前 缀 配置 
natpt v6bound dynamic prefix 3001:: address-group 1 no-pat // 动 态 映射 配置 


interface GigabitEthernet0/0 


EA 路 由 技术 85 


port link-mode route 

ip address 8.0.0.1 255.255.255.0 

natpt enable //NAT-PT 已 使 能 
# 
interface GigabitEthernet0/1 

port link-mode route 

ipv6 address 2001: :1/64 

natpt enable //NAT-PT 已 使 能 
# 


return 


例如 : 通过 命令 查看 路 由 器 IPv6 已 使 能 ,NAT-PT 匹配 方式 为 ACL 匹配 。 地 址 池 和 
ACL IPv6 已 配置 ,两 侧 接 口 下 NAT-PT 已 使 能 。 地 址 映射 为 IPv6 侧 动态 映射 ,端口 默认 转 
换 。ACL 匹配 所 配 地 址 。 


[H3C] display current-configuration configuration system 
# 
sysname H3C 
# 
domain default enable system 
# 
ipv6 //IPV6 已 使 能 
# 
natpt address-group 1 9.0.0.10 9.0.0.19 // 地 址 池 配 置 
natpt prefix 3001:: // 地 址 前 缀 配置 
natpt v6bounddynamic acl6 number 2000 address-group 1 // 动 态 映 射 配置 
# 
acl ipv6 number 2000 
rule 0 permit source 2001: :/64 //ACL IPV6 配置 
# 
interface GigabitEthernet0/0 
port link-mode route 
ip address 8.0.0.1 255.255.255.0 
natpt enable //NAT-PT 已 使 能 
# 
interface GigabitEthernet0/1 
port link-mode route 
ipv6 address 2001: :1/64 
natpt enable //NAT-PT 已 使 能 
# 


return 


(3) 检查 网 络 状 态 

根据 不 同 接口 类 型 选 配 相 应 的 接口 线 缆 , 并 确保 线 缆 连 接 正确 ,端口 指示 灯 正 常 。 通 过 从 
IPv4 侧 设 备 和 IPv6 侧 设备 ping NAT-PT 设备 ,确保 网 络 状态 正常 可 达 。 从 IPv6 侧 ping 时 
注意 ping 后 要 加 上 IPv6 字段 。 

命令 : ping ipu6 ip-address 

例如 : 通过 命令 查看 IPv6 侧 设备 到 NAT-PT 设备 网 络 状 态 ,正常 可 达 。 


[H3C]ping ipv6 2001::1 
PING 2001::1 : 56 data bytes，press CTRL_C to break 
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Reply from 2001::1 

bytes=56 Sequence=0 hop limit=64 time 1 ms 

Reply from 2001: :1 

bytes=56 Sequence=1 hop limit=64 time = 1 ms 

Reply from 2001: :1 

bytes=56 Sequence=2 hop limit=64 time l ms 

Reply from 2001: :1 

bytes=56 Sequence=3 hop limit=64 time l ms 

Reply from 2001: :1 

bytes=56 Sequence=4 hop limit=64 time = 1 ms 
--- 2001: :1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 1/1/1 ms 


从 IPv4 侧 设备 ping NAT-PT 设备 ,查看 网 络 状态 。 
MA: Ping r: Z. z; = 


例如 : 通过 命令 查看 IPv4 侧 设 备 到 NAT-PT 设备 网 络 状 态 ,正常 可 达 。 


[H3C]ping 8.0.0.1 
PING 8.0.0.1: 56 data bytes, press CTRL_C to break 


Reply from 8.0.0.1: bytes=56 Sequence=0 ttl=255 time=1 ms 
Reply from 8.0.0.1: bytes=56 Sequence=1 ttl=255 time=1 ms 
Reply from 8.0.0.1: bytes=56 Sequence=2 ttl=255 time=1 ms 
Reply from 8.0.0.1: bytes=56 Sequence=3 ttl=255 time=1 ms 
Reply from 8.0.0.1: bytes=56 Sequence=4 ttl=255 time=1 ms 


--- 8.0.0.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/1 ms 


— kit ha sr 
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查看 cp 协商 状态 


检查 Lcp 相 关 配 置 


检查 pcp 相 关 
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02 路 由 技术 2.3 广域网 接 入 技术 2.3.1 PPP 故障 排查 步骤 详解 


1. 开始 
PPP 协议 是 提供 在 点 到 点 链 路 上 传递 .封装 网 络 层 数据 包 的 一 种 数据 链 路 层 协 议 ,PPP 
定义 了 一 整套 的 协议 ,包括 链 路 控制 协议 (LCP) 、 网 络 层 控制 协议 (NCP) 和 验证 协议 (PAP 和 
CHAP), PPP 协议 定位 故障 的 思路 是 : 从 底层 查 起 , 先 看 端口 物理 层 状态 ,再 按照 协商 顺序 
依次 查看 LCP 协商 ,验证 协商 ,NCP 协商 。 
2. 流程 图 相关 操作 说 明 
(1) 检查 接口 状态 
分 别 查看 两 端 设备 的 接口 、 协 议 状 态 是 否 Up。 如 果 接 口 状态 为 Down. LCP 状态 为 
initial, 则 说 明 物 理 层 配置 . 线 缆 及 设备 问题 。 
命令 : display inter face inter face-type interface-number 
例如 : 通过 命令 查看 路 由 器 Serial 6/1 当前 状态 Up, 协 议 Up。 
[H3C] display interface Serial 6/1 
Serial6/1 current state: Up 
Line protocol current state: Up 
Description: Serial6/1 Interface 
The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet Address is 100.0.0.1/24 Primary 


Link layer protocol is PPP 
LCP opened, IPCP opened 


(2) 检查 物理 连接 线路 

根据 不 同 接口 类 型 选 配 相应 的 接口 线 缆 , 并 确保 线 缆 连 接 正 确 ; 可 通过 本 地 命令 做 本 地 
环 回 测试 确认 板 卡 是 否 正常 ,通过 线路 上 环 回 测试 确认 线 缆 与 板 卡 是 否 正常 , 远 端 设备 环 回 测 
试 确认 运营 商 线 路 是 否 正常 。 具 体 的 打 环 测试 方法 请 根据 接口 类 型 参考 相应 云图 接口 故障 排 
查 部 分 。 

(3) 查看 LCP 状态 

# LCP 未 进入 opened 状态 , 则 可 考虑 为 LCP 协商 的 问题 ,首先 检查 物理 接口 的 报 文 收 
发 是 否 正常 ,如 果 确 认 接 口 的 报 文 收发 正常 , 则 排查 LCP 参数 协商 问题 。 

MA: display inter face interface-type interface-number 

例如 : 通过 命令 查看 路 由 器 Serial 6/1 当前 状态 Up, 协 议 Up, LCP opened 状态 ,LCP 协 
商 初始 状态 为 initial ,协商 过 程 经 过 starting,reqsent,ackrcvd 状态 ,最 终 进入 opened 状态 。 


[H3C] display interface Serial 6/1 

Serial6/1 current state: Up 

Line protocol current state: Up 

Description: Serial6/1 Interface 

The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet Address is 100.0.0.1/24 Primary 
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Link layer protocol is PPP 
LCPopened , IPCP opened 


(4) 检查 LCP 配置 
LCP 协商 无 法 成 功 常见 配置 问题 多 为 设备 两 端 是 否 验证 ,MP 捆绑 等 配置 不 一 致 造成 ,可 


在 两 端 接口 下 检查 相对 应 配置 是 否 一 致 。 
命令 : display current-configuration inter face inter face-type inter face-number 


例如 : 查看 互联 接口 Serial 6/1 接口 下 配置 ,该 接口 配置 MP 捆绑 , 则 对 端 设备 接口 也 需 
要 配置 MP 捆绑 ,双方 MP 配置 必须 保持 一 致 。 


[H3C] display current-configuration interface Serial 6/1 
# 
interface Serial 6/1 

link-protocol ppp 


ppp mp 
ip address 100.1.1.1 255.255.255.0 


# 


return 


(5) 查看 验证 阶段 

# LCP 协议 进入 opened 状态 ,而 IPCP 依然 为 initial 状态 ,或 者 LCP 变 为 opened 状态 
后 又 很 快 重新 开始 协商 ,可 考虑 为 验证 的 问题 ; 由 于 此 状态 为 临时 状态 ,不 易 观 察 , 可 通过 
debugging ppp all 来 观察 。 如 果 成 功 协商 了 验证 ,PPP 会 打印 出 PAP sk CHAP 验证 的 报 文 ， 
如 果 验 证 失败 ,会 打印 出 “PPP authentication failed” 信 息 。 

(6) 检查 认证 相关 配置 

PPP 认证 分 为 PAP 与 CHAP 认证 , 单 向 与 双向 , 需 检 查 认 证 方式 ,用户 名 与 密码 是 否 
匹配 。 

如 果 接 口 下 配置 ppp authentication-mode 命令 , 则 本 端 为 主 验证 方 ,此 时 可 根据 PAP 或 
CHAP 验证 流程 进行 验证 协商 ,如 果 接 口 下 与 全 局 视图 都 配置 PPP 认证 用 户 名 与 密码 , 则 协 
商 时 首选 接口 下 参数 协商 。 

例如 : H3C-A 设备 Serial 6/1 接口 与 H3C-B 设备 Serial 5/1 接口 互联 ,H3C-A 设备 为 主 
验证 方 ,H3C-B 设备 接口 下 配置 发 送 的 验证 用 户 与 密码 H3C/H3C。 


H3C-A 设备 配置 
# 


local-userH3C 

password simpleH3C 

service-type ppp 

# 
interface Serial 6/1 

link-protocol ppp 

ppp authentication-mode pap 

ip address 100.1.1.1 255.255.255.0 
# 


H3C-B 设备 配置 
# 
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interface Serial 5/1 

link-protocol ppp 

ppp pap local-userH3C password simple H3C 
ip address 100.1.1.2 255.255.255.0 
# 


return 


(7) 查看 IPCP 状态 
若 显示 LCP 协议 进入 opened 状态 ,而 IPCP 处 于 reqsent 或 stopped, 则 需要 排查 IPCP 


参数 协商 问题 。 


命令 : display inter face inter face-type inter face-number 


例如 : 通过 命令 查看 ,LCP 状态 为 opened 协商 通过 ,IPCP 状态 为 opened。 


[H3C] display interface Serial 6/1 

Serial6/1 current state: Up 

Line protocol current state: Up 

Description: Serial 6/1 Interface 

The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet protocol processing : disabled 

Link layer protocol is PPP 

LCP opened, IPCP opened 


(8) 检查 IPCP 配置 


IPCP 协商 包括 : IP 地 址 IP 报 文 压缩 协议 .DNS 服务 器 地 址 等 , 需 检查 是 否 配置 正确 。 
常见 配置 问题 为 IP 地 址 无 法 获取 ,DNS 地 址 无 法 获取 。 

例如 : H3C-A 设备 接口 Serial 6/1 的 IP 地 址 需要 对 端 设备 分 配 , H3C-B 设备 不 允许 
H3C-A 设备 自行 配置 接口 地 址 ,H3C-B 设备 从 地 址 池 pool 1 中 为 对 端 分 配 地 址 。 


[H3C-A] display current-configuration interface Serial 6/1 
# 


interface Serial 6/1 
link-protocol ppp 
ip address ppp-negotiate 


Return 


[H3C-B] display current-configuration interface Serial 5/1 
# 
interface Serial 5/1 
link-protocol ppp 
ppp ipcp remote-address forced 
remote address pool 1 
# 


Return 


— 表 元 上 一 步 结果 正 党 


= 一 = 人》 表示 上 一步 结果 出 现 问题 


持 口 物理 状态 HDLC ÉK É HE g 


* 


* 


检查 tplc 配 置 
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02 路 由 技术 2.3 广域网 接 入 技术 2.3.2 HDLC 故障 排查 > 


1. 开始 

HDLC 是 一 种 面向 比特 的 链 路 层 协议 ,其 定位 故障 的 思路 是 : 从 物理 层 查 起 , 先 看 端口 物 
理 层 状态 ,再 查看 HDLC 协商 。 

2. 流程 图 相关 操作 说 明 

(1) 端口 物理 状态 

分 别 查看 两 端 路 由 器 的 接口 状态 信息 ,物理 层 是 否 Up, 其 中 Down 说 明 物 理 层 工作 异 
常 ,应 检查 两 端 路 由 器 的 物理 层 配置 及 设备 问题 。 

命令 : display interface interface-type interface-number 


例如 : 通过 命令 查看 ,路 由 器 物理 层 Down .建议 排查 物理 层 配 置 , 线 缆 及 设备 问题 。 


[H3C] display interface Serial 6/1 

Serial6/1 current state: Up 

Line protocol current state: Up 

Description: Serial6/1 Interface 

The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet Address is 100.0.0.2/24 Primary 

Link layer protocol is HDLC 


DCD=Up DTR=Up DSR=Up RTS=Up CTS=Up 


(2) 检查 HDLC 配置 

查看 HDLC 的 配置 ,确定 是 否 正确 的 配置 了 HDLC 相关 协商 参数 ,注意 两 端 轮 询 时 间 
timer hold 要 求 配置 一 致 。 

MS: display inter face interface-type interface-number 


例如 : 通过 命令 查看 配置 HDLC 协议 , 轮 询 时 间 为 20 秒 。 


[H3C] display interface Serial 6/1 
# 
interface Serial6/1 
Slink-protocol hdlc 
timer hold 20 
ip address 100.0.0.1 255.255.255.0 
# 


(3) 排查 传输 线路 连通 性 

可 通过 远 端 设备 环 回 测试 ,确认 线路 连通 性 ,或 者 联系 运营 商 设备 打 环 测试 ,具体 的 打 环 
测试 方法 请 根据 接口 类 型 参考 相应 云图 接口 故障 排查 部 分 。 

(4) 排查 物理 线路 连接 

根据 不 同 板 卡 接口 类 型 选 配 相应 的 接口 线 缆 , 并 确保 线 缆 连 接 正 确 ; 可 通过 本 地 环 回 测 
试 确认 板 卡 硬件 是 否 正常 ,通过 线路 环 回 测试 确认 线 缆 与 板 卡 是 否 正常 , 远 端 设备 环 回 测试 确 
认 运 营 商 线路 是 否 正常 ,具体 的 打 环 测试 方法 请 根据 接口 类 型 参考 相应 云图 接口 故障 排查 
部 分 。 
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02 路 由 技术 2.3 广域网 接 入 技术 2.3.3 DCC 故障 排查 步骤 详解 


1. 开始 

DCC(Dial Control Center, 拨 号 控制 中 心 ) 是 指 路 由 器 之 间 通 过 公用 交换 网 进行 互联 时 所 
采用 的 路 由 技术 ,可 以 提供 按 需 拨号 服务 。 为 了 配置 DCC 参数 而 设置 的 逻辑 接口 Dialer H, 
物理 接口 可 以 通过 绑 定 到 Dialer 接口 而 继承 配置 信息 。 

DCC 问题 定位 思路 是 : 先 查 看 接口 状态 ,再 查看 DCC 配置 ,接着 查看 物理 链 路 ,然后 检查 
Modem, 最 后 查看 PPP 协商 过 程 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 接口 状态 

Dialer 口 默认 协议 为 Up, 物 理 状态 取决 于 其 对 应 的 物理 接口 协议 层 状态 。 

如 果 物 理 接口 的 物理 状态 为 Down, 则 需要 排查 物理 接口 及 线 线 ; 如 果 物 理 接口 的 物理 状 
态 Up ,协议 层 为 Down, 则 需要 查看 物理 接口 协议 层 。 

命令 : display inter face inter face-type interface-number 


例如 : 通过 命令 查看 路 由 器 Dialer 0 当前 状态 物理 Up ,协议 Up. 


[H3C] display interface Dialer 0 

Dialer0 current state: Up 

Line protocol current state: Up (spoofing) 

Description: Dialer0 Interface 

The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet Address is 100.1.1.1/24 Primary 

Link layer protocol is PPP 

LCP opened, IPCP opened 


通过 命令 查看 路 由 器 Serial 2/1 当前 状态 物理 Up ,协议 Up. 


[H3C] display interface Serial 2/1 

Serial6/1 current state: Up 

Line protocol current state: Up 

Description: Serial6/1 Interface 

The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet Address is 100.0.0.1/24 Primary 

Link layer protocol is PPP 

LCP opened, IPCP opened 


DCD=Up DTR=Up DSR=Up RTS=Up CTS=Up 


(2) 检查 DCC 配置 

查看 DCC 的 配置 ,包括 DCC 的 基本 配置 、 轮 询 DCC 的 配置 .共享 DCC 的 配置 等 。 

O 检查 DCC 基本 配置 。 看 拨号 接口 上 是 否 配置 链 路 层 协议 .接口 地 址 .配置 DCC 拨号 
控制 列表 与 拨号 接口 关联 以 及 配置 User-interface 允许 Modem 呼 入 和 呼出 。 

h>, display current-con figuration 


例如 : 通过 命令 查看 路 由 器 当前 DCC 相关 的 配置 。 
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[H3C] display current-configuration 
# 

dialer-rule 1 ip permit // 配 置 拨号 控制 列表 
# 

interface Dialer0 

link-protocol ppp 


ip address 100.1.1.1 255.255.255.0 // 配 置 接口 地 址 
dialer enable-circular 
dialer-group 1 // 与 拨号 接口 关联 


dialer route ip 100.1.1.2 123 

dialer route ip 100.1.1.3 234 

# 

user-interface con 0 

user-interface ttyl 

modem both // 人 允许 Modem 呼 入 与 呼出 
# 


return 


@ 检查 轮 询 DCC 应 用 配置 。 查 看 拨号 接口 上 是 否 使 能 轮 询 DCC ,并 配置 呼叫 一 个 或 多 
个 对 端的 拨号 串 以 及 轮 询 DCC 的 关键 配置 。 
MA: display current-con figuration 


例如 : 通过 命令 查看 路 由 器 当前 的 轮 询 DCC 配置 。 


# 

<H3C>system-view 

[H3C]dialer-rule 1 ip permit // 配 置 拨号 访问 组 1 以 及 对 应 的 拨号 访问 控制 条 件 
# 

[H3C]interface dialer 0 

[H3C-Dialer0]dialer enable-circular // 启 动 轮 询 DCC 

[H3C-Dialer0]ip address 100.1.1.1 255.255.255.0 ”// 配 置 Dialer0 接口 IP 地 址 

[H3C-Dialer0] dialer-group 1 // 拨 号 访问 组 1 与 接口 关联 


[H3C-Dialer0] dialer route ip 100.1.1.2 8810052 
[H3C-Dialer0] dialer route ip 100.1.1.3 8810063 // 分 别 配 置 到 达 对 端的 拨号 串 
[H3C-Dialer0]quit 


+ 


H3C]interface serial 2/0 

H3C-Serial2/0] physical-mode async // 接 口 工 作 在 异步 协议 方式 
H3C-Serial2/0] async mode protocol 

H3C-Serial2/0] dialer circular-group 0 // 使 用 的 Dialer Circular Group 组 
H3C-Serial2/0] quit 

# 
[H3C] interface serial 2/1 

[H3C-Serial2/1] physical-mode async // 接 口 工作 在 异步 协议 方式 
[H3C-Serial2/1]async mode protocol 

[H3C-Serial2/1] dialer circular-group 0 // 使 用 的 Dialer Circular Group 组 
[H3C-Serial2/1] quit 

# 
[H3C]user-interface ttyl 
[H3C-ui-tty1]modem both 
[LH3C-uirttyl] quit 


H3C]user-interface tty2 
H3C-ui-tty2] modem both // 配 置 User-interface, 允许 Modem 呼 入 和 呼出 
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O 检查 共享 DCC 应 用 配置 。 分 别 查看 拨号 口 Dialer 0、Serial 2/1 是 否 启动 共享 DCC, Me 
置 允 许 接 和 人 的 对 端 用 户 以 及 配置 异步 协议 方式 .配置 PPP 认证 信息 ,配置 该 接口 属于 Dialer 
bundlel 等 各 种 共享 DCC 关键 配置 。 

MA: display current-con figuration 


例如 : 通过 命令 查看 路 由 器 当前 Dialer0 .Dialer 1 口 的 共享 DCC 配置 。 


# 
<H3C>system-view 
[H3C]dialer-rule 1 ip permit // 配 置 拨号 访问 组 1 以 及 对 应 的 拨号 访问 控制 条 件 
H3C]local-user userb 

H3C-luser-userb] password simple userb 

H3C-luser-userb]service-type ppp 

H3C-luser-userb]quit // 配 置 PPP 验证 的 本 地 用 户 userb 

H3C]local-user userc 

[H3C-luser-userc] password simple userc 

H3C-luser-userc]service-type ppp 

H3C-luser-userc]quit // 配 置 PPP 验证 的 本 地 用 户 userc 


ng, 


[H3C]interface dialer 0 
[H3C-Dialer0]ip address 100.1.1.1 255.255.255.0 // 配 置 Dialer0 接口 的 IP 地 址 


[H3C-Dialer0]dialer user userb // 配 置 允 许 拨 入 的 对 端 用 户 名 
[H3C-Dialer0]dialer bundle 1 // 启 动 共 享 DCC 

# 

[H3C-Dialer0]dialer-group 1 

[H3C-Dialer0]ppp authentication-mode pap // 配 置 PPP 认证 信息 
[H3C-Dialer0] ppp pap local-user usera password simple usera 

[H3C-Dialer0] dialer number 8810052 // 配 置 到 达 对 端的 拨号 串 
[H3C-Dialer0]quit 

# 


[H3C]interface dialer 1 
H3C-Dialerl]ip address 122.1.1.1 255.255.255.0 // 配 置 Dialerl 接口 的 IP 地 址 


H3C-Dialerl] dialer user userc // 配 置 允许 拨 入 的 对 端 用 户 名 
H3C-Dialerl] dialer bundle 2 // 启 动 共享 DCC 
# 
[H3C-Dialer1]dialer-group 1 
[H3C-Dialer1]ppp authentication-mode pap // 配 置 PPP 认证 信息 
[H3C-Dialer1]ppp pap local-user usera password simple usera 
[H3C-Dialer1]dialer number 8810063 // 配 置 到 达 对 端的 拨号 串 
[H3C-Dialer1]quit 


通过 命令 查看 路 由 器 物理 接口 Serial 2/0 Serial 2/1 当前 的 共享 DCC 配置 。 


H3C-Serial2/0] ppp pap local-user usera password simple usera 
H3C-Serial2/0] quit 


# 

[H3C]interface serial 2/0 

[H3C-Serial2/0] physical-mode async // 配 置 接口 工作 在 异步 协议 方式 
[H3C-Serial2/0]async mode protocol 

[H3C-Serial2/0] dialer bundle-member 1 // 配 置 该 接口 属于 Dialer bundlel 
[H3C-Serial2/0] dialer bundle member 2 // 配 置 该 接口 属于 Dialer bundle2 
[LH3C-Serial2/0] link-protocol ppp 

[H3C-Serial2/0] ppp authentication-mode pap // 配 置 PPP 认证 信息 
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# 
[H3C]interface serial 2/1 


[H3C-Serial2/1] physical-mode async // 配 置 接口 工作 在 异步 协议 方式 
[H3C-Serial2/1]async mode protocol 

[H3C-Serial2/1]dialer bundle-member 1 // 配 置 该 接口 属于 Dialer bundlel 
[H3C-Serial2/1] dialer bundle-member 2 // 配 置 该 接口 属于 Dialer bundle2 


[H3C-Serial2/1] link-protocol ppp 

[H3C-Serial2/1] ppp authentication-mode pap // 配 置 PPP 认证 信息 
[H3C-Serial2/1] ppp pap local-user usera password simple usera 
[H3C-Serial2/1] quit 

# 
[H3C] user-interface ttyl 

[H3C-ui-tty1] modem both // #.YWe Modem 呼 入 和 呼出 
[H3C-uirttyl] quit 

[H3C] user-interface tty2 

[H3C-ui-tty2] modem both 


(3) 检查 物理 链 路 

根据 不 同 接口 类 型 选 配 相 应 的 接口 线 缆 , 并 确保 线 缆 连 接 正 确 ; 可 通过 本 地 命令 做 本 地 
环 回 测试 确认 板 卡 是 否 正 常 ,通过 线路 上 环 回 测试 确认 线 缆 与 板 卡 是 否 正常 , 远 端 设备 环 回 测 
试 确认 运营 商 线 路 是 否 正常 。 具 体 的 打 环 测试 方法 请 根据 接口 类 型 参考 相应 云图 接口 故障 排 
查 部 分 。 

(4) 检查 Modem 

在 拨号 端 用 电话 座机 替代 设备 ,拨打 对 端 号 码 , 查 看 是 否 能 听 到 清晰 的 Modem 音 。 

(5) 检查 PPP 协议 

PPP 协议 排查 具体 方法 请 参考 云图 中 PPP 排 错 章 节 。 
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02 路 由 技术 2.3 广域网 接 入 技术 2.3.4 FR 故障 排查 步骤 详解 


1. 开始 

帧 中 继 (Frame-Relay) 协 议 是 链 路 层 协议 , 它 是 在 X. 25 技术 基础 之 上 发 展 起 来 的 一 种 快 
速 分 组 交换 技术 。 目 前 帧 中 继 使 用 最 多 的 方式 是 永久 虚 电 路 方式 , 即 手工 配置 产生 的 虚 电路 
方式 。 帧 中 继 协 议定 位 故障 的 思路 是 : 从 底层 开始 , 先 看 端口 物理 状态 .再 看 协议 状态 ,最 后 
检查 相关 路 由 协议 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 接口 物理 状态 

分 别 查看 两 端 设备 的 接口 物理 状态 是 否 Up. 

如 果 接 口 的 物理 Down, 则 需要 检查 板 卡 与 连接 线 缆 是 否 正常 ,交叉 测试 确定 故障 原因 ， 
具体 参考 其 他 云图 。 

MA: display inter face interface-type interface-number 


例如 : 通过 命令 查看 路 由 器 Serial 1/1 当前 状态 Up, 协 议 Down., 


[H3C] display interface Seriall/1 

Serial6/0 current state: Up 

Line protocol current state: Down 

Description: Seriall/1 Interface 

The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 

Internet Address is 1.1.1.1/24 Primary 

Link layer protocol is FR IETF 
LMI DLCI is 0, LMI type is ANSI, frame relay DCE 
LMI status enquiry received 214, LMI status sent 214 
LMI status enquiry timeout 0, LMI message discarded 4 


(2) 检查 协议 状态 

分 别 查看 两 端 设 备 接口 的 协议 状态 是 否 Up. 

两 台 路 由 器 背靠背 连接 ,在 串口 上 封装 帧 中 继 , 若 接口 物理 层 为 Up、 协 议 层 Down, 则 可 
能 是 由 于 两 端 均 为 DCE 或 DTE、 两 端 接口 的 LMI 类 型 不 一 致 导致 。 

若 背 靠背 连接 的 串口 上 ,接口 物理 层 和 协议 层 均 为 Up 状态 , 却 无 法 ping 通 , 则 可 能 是 由 
于 MAP 配置 有 误导 致 。 

MA: display inter face interface-type interface-number 


例如 : 通过 命令 查看 路 由 器 Serial 1/1 当前 状态 Up, 协 议 Up. 


[H3C] display interface Seriall/1 
Serial6/0 current state: Up 
Line protocol current state: Up 
Description: Seriall/1 Interface 
The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet Address is 1.1.1.1/24 Primary 
Link layer protocol is FR IETF 
LMI DLCI is 0, LMI type is ANSI, frame relay DCE 
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LMI status enquiry received 214, LMI status sent 214 
LMI status enquiry timeout 0, LMI message discarded 4 


(3) 检查 接口 配置 

H3C 路 由 器 封装 FR 时 的 默认 LMI 类 型 是 Q933a。 当 DCE 端的 LMI 类 型 为 Q933a, 而 
DTE 端 配 置 的 LMI 类 型 为 ANSI 时 ,会 因为 两 端的 LMI 类 型 不 一 致 ,而 造成 链 路 层 协议 无 法 
Up。 此 时 只 需 将 两 端的 LMI 类 型 保持 一 致 即 可 : 配置 两 端 LMI 类 型 均 为 ANSI, 或 删除 掉 对 
DTE 侧 LMI 的 配置 ,默认 情况 下 均 为 Q933a。 

MA: display inter face interface-type interface-number 


例如 : 通过 命令 查看 路 由 器 Serial 1/1 当前 状态 Up, 协 议 Up. 


[H3C] display interface Seriall/1 
Serial6/0 current state: Up 
Line protocol current state: Up 
Description: Seriall/1 Interface 
The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet Address is 1.1.1.1/24 Primary 
Link layer protocol is FR IETF 
LMI DLCI is 0, LMI type is ANSI, frame relay DCE 
LMI status enquiry received 214, LMI status sent 214 
LMI status enquiry timeout 0, LMI message discarded 4 


(4) 检查 MAP 相关 配置 

直 连 设备 的 串口 配置 帧 中 继 后 ,分配 了 同一 网 段 的 IP 地 址 ,接口 物理 状态 和 协议 状态 都 
Up 了 , 却 无 法 ping 通 。 这 可 能 是 由 于 缺少 了 MAP 配置 导致 的 。 

配置 了 FR 的 接口 只 要 LMI 类 型 与 对 端 一 致 , 则 协议 就 会 Up ,不 管 是 否 配置 了 IP 地址 ， 
也 不 管 是 否 有 到 对 端的 MAP。 而 在 帧 中 继 网 络 中 要 想 互通 ,除了 接口 协议 要 Up, 还 要 有 相 
应 的 MAP ,无 论 是 静态 还 是 动态 MAP, 

MS: display current-configuration inter face interface-type inter face-number 

例如 : 查看 互联 接口 两 端 接口 的 配置 , 若 均 没有 到 对 端的 MAP, 需 要 配置 。 一 端 配置 
MAP 后 , 另 一 端 默认 开启 了 InARP, 可 以 动态 学 习 , 不 用 手动 配置 。 


[H3C]display current-configuration interfaceSerial 1/1 


interface Seriall/1 

link-protocol fr 

fr interface-type dce 

fr map ip 1.1.1.2 100 

ip address 1.1.1.1 255.255.255.0 
# 


return 
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GRE VPN 定位 故障 的 思路 是 : 先 查 配置 ,再 查 接口 状态 ,然后 查 两 端 之 间 的 网 络 ,最 后 
查 私 网 路 由 。 


2. 流程 图 相关 操作 说 明 


(1) 检查 两 端 GRE 配置 
分 别 查看 两 端 GRE 配置 是 否 正确 。 
MA: display current-con figuration interface Tunnel number 


例如 : 通过 命令 查看 ,可 以 确认 两 端 GRE 当前 配置 。 


本 端 : 
[H3C-A] display current-configuration interface Tunnel 1 
# 
interface Tunnell 
ip address 10.0.0.1 255.255.255.252 
source 192.168.1.1 
destination 192.168.2.1 
# 
return 
本 端 : 
[H3C-B] display current-configuration interface Tunnel 1 
# 
interface Tunnell 
ip address 10.0.0.2 255.255.255.252 
source 192.168.2.1 
destination 192.168.1.1 
# 


return 


(2) 查看 接口 状态 
分 别 查看 两 端 tunnel 接口 协议 是 否 Up。 
命令 : display interface Tunnel number 


例如 : 通过 命令 查看 ,可 以 确认 tunnel 接口 的 协议 是 Up 的 。 


本 端 : 
[H3C-A] display interface Tunnel 1 
Tunnell current state: Up 
Line protocol current state: Up 
Description: Tunnell Interface 
The Maximum Transmit Unit is 1476 
Internet Address is10.0.0.1/30 Primary 
Encapsulation is TUNNEL, service-loopback-group ID not set. 
Tunnel source192.168.1.1 (GigabitEthernet0/1), destination 192.168.2.1 
Tunnel bandwidth 64 (kbps) 
Tunnel keepalive disabled 
Tunnel protocol/transport GRE/IP 
GRE key disabled 
Checksumming of GRE packets disabled 
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对 端 : 
[H3C-B] display interface Tunnel 1 
Tunnell current state: Up 
Line protocol current state: Up 
Description: Tunnell Interface 
The Maximum Transmit Unit is 1476 
Internet Address is10.0.0.2/30 Primary 
Encapsulation is TUNNEL, service-loopback-group ID not set. 
Tunnel source192.168.2.1 (GigabitEthernet0/1), destination 192.168.1.1 
Tunnel bandwidth 64 (kbps) 
Tunnel keepalive disabled 
Tunnel protocol/transport GRE/IP 
GRE key disabled 
Checksumming of GRE packets disabled 


(3) 检查 两 端 之 间 的 网 络 

Tunnel 口 状态 为 Down ,需要 分 为 以 下 两 种 情况 排查 。 

O Tunnel 口 下 没有 配置 Keepalive, 此 时 需要 查看 是 否 存 在 到 达 Destination IP 的 公 网 
路 由 。 

命令 : display ip routing-table 

例如 : 通过 查看 路 由 表 , 可 以 确认 到 Destination IP 地 址 为 192. 168. 2. 1 的 路 由 存在 。 


[H3C-A] display ip routing-table 
Routing Tables: Public 


Destinations : 2 Routes : 2 
Destination/ Mask Proto Pre Cost NextHop Interface 
192.168.2.0/24 Direct0 0 192.168.1.2 GE0/1 
192.168. 100.0/24 Static 60 0 10.0.0.1 Tunl 


© Tunnel 口 下 配置 Keepalive, 此 时 不 仅 需要 查看 是 否 存在 到 达 Destination IP 的 公 网 路 
由 ,还 需要 确认 Destination IP 是 否 可 达 。 

命令 : Pi G es x, s. £ 

例如 : 通过 命令 可 以 看 到 ,在 H3C-A 上 指定 源 192. 168. 1. 1 ping H3C-B 的 192.168.2.1 
可 以 ping 通 。 


[H3C-A] ping -a 192.168.1.1 192.168.2.1 
PING 192.168.2.1: 56 data bytes, press CTRL_C to break 
Reply from 192.168.2.1: bytes=56 Sequence=1 ttl=255 time=1 ms 
Reply from 192.168.2.1: bytes=56 Sequence=2 ttl=255 time=1 ms 
Reply from 192.168.2.1: bytes=56 Sequence=3 ttl=255 time=1 ms 
Reply from 192.168.2.1: bytes=56 Sequence=4 ttl=255 time=1 ms 
Reply from 192.168.2.1: bytes=56 Sequence=5 ttl=255 time=1 ms 


--- 192.168.2.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/1 ms 


(4) 检查 私 网 路 由 
查看 到 远 端 私 网 的 路 由 是 否 指向 了 本 端的 Tunnel 接口 。 
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MS: display ip routing-table 
例如 : 通过 查看 路 由 表 , 可 以 确认 到 远 端 私 网 192. 168. 100. 0/24 网 段 的 路 由 指向 了 
Tunnel 1 接口 。 


[H3C-A] display ip routing-table 
Routing Tables: Public 


Destinations : 2 Routes : 2 
Destination/ Mask Proto Pre Cost NextHop Interface 
192.168.2.0/24 Direct 0 0 192.168.1.2 GE0/1 


192.168.100.0/24 Static 60 0 10.0.0.1 Tuni 
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L2TP VPN 定位 故障 的 思路 是 : 先 确认 LAC、LNS 的 连通 性 ,再 查看 L2TP 隧道 是 否 建 
立 , 最 后 查 用 户 的 认证 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 LAC 与 LNS 是 否 路 由 可 达 

O DIAEA LAC、LNS 路 由 器 的 路 由 表 中 是 否 存在 到 达 对 端的 路 由 ,并 确认 是 否 路 由 
可 达 。 

MS: display ip routing-table x.x. x.x 

例如 : 通过 命令 查看 ,可 以 确认 LAC 路 由 器 上 存在 到 达 对 端 LNS 的 路 由 0. 0. 0.0/0, F 
一 跳 是 10. 0. 0. 1。 


[LAC]display ip routing-table 0.0.0.0 
Routing Tables: Public 


Destinations : 2 Routes : 2 
Destination/ Mask Proto Pre Cost NextHop Interface 
0.0.0.0/0 Static 60 0 10.0.0.1 Eth0/0 


@ 检查 LAC 和 LNS 之 间 是 否 路 由 可 达 。 
命令 : Ping tta 


例如 : 通过 命令 可 以 看 到 ,LAC 到 达 LNS 之 间 路 由 可 达 。 


[LAC]ping 10.0.1.2 

PING 10.0.1.2: 56 data bytes，press CTRL_C to break 
Reply from 10.0.1.2: bytes=56 Sequence=0 ttl=255 time=32 ms 
Reply from 10.0.1.2: bytes=56 Sequence 一 1 ttl 一 255 time=25 ms 
Reply from 10.0.1.2: bytes=56 Sequence 一 2 ttl 一 255 time 一 27 ms 
Reply from 10.0.1.2: bytes=56 Sequence=3 ttl=255 time=23 ms 
Reply from 10.0.1.2: bytes 一 56 Sequence 一 4 ttl=255 time=23 ms 

--- 10.0.1.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 23/26/32 ms 


(2) 查看 L2TP 隧道 是 否 建立 

查看 LAC、LNS 之 间 的 L2TP 隧道 是 否 正常 建立 。 
命令 : display l2tp tunnel 

例如 : 通过 命令 查看 ,可 以 确认 L2TP 隧道 已 成 功 建立 。 


[LAC] display 12tp tunnel 

Total tunnel = 1 

LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 
1 1 10.0.1.2 1701 1 Ins 
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(3) 检查 LAC、LNS 上 是 否 使 能 L2TP 
确认 LAC、LNS 路 由 器 配置 中 是 否 存在 12tp enable 命令 。 
MA: display current-configuration | include l2tp enable 


例如 : 通过 命令 查看 ,可 以 确认 LAC 路 由 器 上 存在 12tp enable 命令 ,使 能 了 L2TP 功能 。 


[LAC] display current-configuration | include 12tp enable 
12tp enable 


[LNS] display current-configuration | include 12tp enable 
12tp enable 


(4) 检查 LAC、LNS 两 侧 L2 TP 配置 

确认 LAC、LNS 路 由 器 L2TP 配置 中 隧道 验证 ,隧道 名 称 参数 是 否 对 应 。 
确认 LAC 路 由 器 配置 的 发 起 L2TP 连接 请 求 参 数 是 否 正确 。 

确认 LNS 路 由 器 配置 的 接收 L2TP 连接 请 求 参 数 是 否 正确 。 


[LAC] display current-configuration 
# 
12tp enable 
# 
domain system 
authentication ppp local 
access-limit disable 
state active 
idle-cut disable 
self-service-url disable 
# 
local-user user1 
password cipher $ c $ 3 $ W1YxAfpVMZsGDe1UxUGBJEPB20O6RG+G 
Service-type ppp 
# 
l2tp-group 1 
undo tunnel authentication 
start l2tp ip 10.0.1.2 domain system 
# 
interface Virtual-Templatel 
ppp authentication-mode chap domain system 
ip address 1.1.1.1 255.255.255.0 
# 
interface Ethernet5/0 
port link-mode route 
pppoe-server bind Virtual-Template 1 


# 


[LNS] display current-configuration 
# 
12tp enable 
# 
domain system 
authentication ppp local 
access-limit disable 
state active 
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idle-cut disable 

self-service-url disable 

ip pool 1 192.168.0.2 192.168.0.10 
# 


local-user user1 
password cipher $ c $ 3 $ nH3DI7gxrRRbVjEB+I1Uxm5j+ 2LFtow== 
service-type ppp 
# 
l2tp-group 1 
undo tunnel authentication 
allow l2tp virtual-template 1 
# 
interface Virtual-Templatel 
ppp authentication-mode chap domain system 
remote address pool 1 
ip address 192.168.0.1 255.255.255.0 
# 


(5) 查看 L2TP 会 话 
查看 LNS 上 是 否 存在 用 户 L2TP 会 话 。 
MA: display l2tp session 


例如 : 通过 命令 查看 ,可 以 确认 本 端 已 存在 一 个 L2TP 会 话 。 


[LNS] display 12tp session 
Total session = 1 
LocalSID RemoteSID LocalTID 
17922 12990 1 


(6) 检查 用 户 认证 相关 设备 的 配置 
确认 LNS 路 由 器 配置 的 用 户 认 证 方式 是 本 地 认证 ,还 是 远 端 AAA 认证 。 
如 果 是 本 地 认证 , 则 确认 输入 的 用 户 名 密码 是 否 与 LNS 路 由 器 上 配置 的 一 致 。 
如 果 是 远 端 AAA 认证 , 则 确认 AAA 配置 是 否 正确 .AAA 服务 器 上 配置 是 否 正确 。 
命令 : debugging ppp all 
terminal debugging 


terminal monitor 
例如 : 通过 命令 可 以 查看 到 由 于 AAA 服务 器 上 配置 的 密码 与 用 户 拨 入 密码 不 符 , 验 证 
失败 的 信息 。 


<LNS> debugging ppp all 
<LNS> terminal debugging 
<LNS> terminal monitor 
//PPP 向 AAA 服务 器 发 送 认 证 信息 : 
* Jul 1 14:09:14:212 2013 rta PPP/7/debug2: 
PPP Event: 
Virtual-Templatel :0 : PPP send AAA Prim: ulPrimID = 00000002, ulUserID = Oxffffffff 
Detail: ausVlanTag[0] = 65535, ausVlanTag[1] = 65535, 
ulServiceType = 0x6005, ulUserType = 0x10, 
szCallingNumber = 
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* Jul 1 14:09:14:215 2013 rta PPP/7/debug2: 
//PPP 侧 从 AAA 侧 收 到 认证 失败 的 信息 
PPP Event: 
Virtual-Templatel :0 : Receive AAA Reject Message, Authen failed! ! 
* Jul 1 14:09:14:215 2013 rta PPP/7/debug2: 
PPP Event: 
Virtual-Templatel :0 CHAP AAA Result Event 
state WaitingAAA 
//PPP 报错 ,chap 验证 失败 
* Jul 1 14:09:14:215 2013 rta PPP/7/debug2: 
PPP Error: 
Virtual-Templatel :0 CHAP : Server authentication failed No. 1 ! 
* Jul 1 14:09:14:215 2013 rta PPP/7/debug2: 
PPP State Change: 
Virtual-Template1:0 CHAP : WaitingAAA --> ServerFailed 
//PPP 侧 告警 ,验证 失败 ,原因 为 用 户 的 密码 非法 
* Jul 1 14:09:14:216 2013 rta PPP/7/debug2: 
PPP Packet: 
Virtual-Templatel :0 Output CHAP(c223) Pkt, Len 33 
State ServerFailed, code FAILURE(04), id 1, len 29 
Message: Illegal user or password. 


* 
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1. 开始 

DVPN 采用 Client/Server 模式 ,工作 在 TCP/IP 协议 栈 的 应 用 层 。DVPN 支持 UDP 和 
GRE 两 种 隧道 类 型 ,按照 工作 方式 的 不 同 , 可 将 一 个 VPN 域 中 的 设备 划分 为 一 个 Server 和 
多 个 Client, Server 的 公 网 地 址 为 静态 地 址 ,Client 的 公 网 地 址 既 可 以 静态 配置 也 可 以 动态 获 
取 , 而 Client 的 私 网 地 址 则 需要 按照 规划 静态 分 配 。 在 同一 个 VPN 域内 ,要 求 所 有 节点 的 私 
网 地 址 在 同一 个 网 段 内 。DVPN 故障 的 定位 思路 是 : 首先 检查 设备 间 的 连通 情况 ,然后 检 
查 VAM Server 上 的 设备 注册 情况 ,最 后 检查 Hub, Spoke 间 的 设备 间 的 隧道 建立 .配置 
情况 。 

2. 流程 图 相关 操作 说 明 


(1) 检查 设备 连通 情况 

分 别 查看 不 同 设备 间 的 网 络 连通 情况 ,如 果 设 备 之 间 不 能 够 ping 通 , 则 怀疑 设备 间 物 理 
连 线 或 者 接口 配置 有 问题 。 

命令 : ping destination-ip-address 

例如 : 通过 命令 检查 设备 间 的 连接 情况 。 


[H3C] ping 192.168.1.4 
PING 192.168.1.4: 56 data bytes, press CTRL_C to break 
Reply from 192.168.1.4: bytes=56 Sequence=0 ttl=255 time=1 ms 
Reply from 192.168.1.4: bytes=56 Sequence 一 1 ttl=255 time=1 ms 
Reply from 192.168.1.4: bytes=56 Sequence=2 ttl=255 time=1 ms 
Reply from 192.168.1.4: bytes=56 Sequence=3 ttl=255 time=1 ms 
Reply from 192.168.1.4: bytes=56 Sequence=4 ttl=255 time=1 ms 


--- 192.168.1.4 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/1 ms 


(2) 检查 VAM Sever 上 设备 注册 状态 

# Hub 和 Spoke 设备 中 某 一 设备 没有 注册 到 VAM Sever, 则 说 明 该 设备 与 VAM Server 
之 间 的 链 路 存在 问题 ,下 一 步 则 要 检查 该 设备 与 VAM Server 上 的 配置 参数 是 否 一 致 

命令 : display vam server address-map all 

例如 : 通过 命令 查看 VAM Server 上 设备 的 注册 状态 ,如 果 其 中 有 一 台 Spoke 或 者 Hub 
设备 没有 注册 到 VAM Server 上 ,该 设备 将 不 会 显示 出 来 。 所 有 的 Hub 和 Spoke 设备 均 已 经 
注册 到 了 VAM Server。 


vamserver> display vam server address-map all 
VPN name: 1 
Total address-map number: 4 
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Private-ip Publicip Type Holding time 
10.0.1.1 192.168.1.1 Hub OH 41M 19S 
J0.0.1.2 192.168.1.2 Hub 0H 38M 57S 
JD.0,.1.3 192.168.1.3 Spoke OH 40M 46S 
10.0.1.4 192.168.1.4 Spoke 0H 40M 25S 


VPN name: 2 
Total address-map number: 3 


Private-ip Public-ip Type Holding time 
10.0.2.1 192.168.1.1 Hub 0H 41M 19S 
10.0.2.2 192.168.1.2 Hub 0H 38M 57S 
10.0.2.4 192.168.1.4 Spoke 0H 40M 25S 


(3) 检查 VAM Sever 设备 配置 情况 
在 VAM Sever 需要 检查 监听 IP 地 址 、 预 共享 密 钥 .本 地 用 户 名 及 密码 ,与 Hub 和 Spoke 
设备 上 的 设置 是 否 一 致 ,如 果 不 一 致 将 会 导致 Hub 和 Spoke 设备 无 法 注册 到 VAM Sever 上 。 


# 

vam server ip 192.168.1.22 // 指 定 VAM Server 上 的 监听 IP 地 址 
# 

vam server vpn 1 // 创 建 VPN, $ ID 为 1 

Server enable 

pre-shared-key simple 123 // 设 置 预 共享 密 钥 

hub private-ip 10.0.1.1 // 指 定 VPN 1 的 两 个 Hub 地 址 
hub private-ip 10.0.1.2 
# 

local-user dvpnlhubl // 创 建 本 地 Hub 用 户 

password simple dvpnlhubl // 设 置 用 户 密码 
authorization-attribute level 3 

service-type dvpn // 服 务 类 型 设置 为 DVPN 
local-user dvpnlspokel // 创 建 本 地 Spoke 用 户 
passwordsimple dvpnlspokel /1 设置 用 户 密码 
authorization-attribute level 3 

service-type dvpn // 服 务 类 型 设置 为 DVPN 


(4) 检查 Hub 设备 相关 配置 
检查 VAM Client 是 否 启动 ,Hub 设备 上 的 相关 配置 参数 要 与 服务 器 上 的 相关 参数 是 否 

一 致 ,必须 保持 一 致 ,才能 够 使 得 该 设备 正确 注册 到 VAM Server 上 。 
# 


vam client name dvpnlhub1 
client enable 


server primary ip-address 192. 168.1.22 // 对 应 于 VAM Server 地 址 
user dvpnlhubl passwordsimple dvpnlhubl // 对 应 于 VAM Server 上 用 户 名 和 密码 
pre-shared-key ciphersimple 123 // 设 置 预 共 享 密 钥 

# 


(5) 检查 Spoke 设备 相关 配置 
检查 VAM Client 是 否 启动 ,Spoke 设备 上 的 相关 配置 参数 要 与 服务 器 上 的 相关 参数 必 
须 保 持 一 致 ,才能 够 使 得 该 设备 正确 注册 到 VAM Server 上 。 
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# 
vam client name dvpnlspokel 
client enable 


server primary ip-address 192.168.1.22 // 对 应 于 VAM Server 地 址 
user dvpnlspokel password simple dvpnlspokel ”// 对 应 于 VAM Server 上 用 户 名 密码 
pre-shared-key ciphersimple 123 // 设 置 预 共享 密 钥 

# 


(6) 查看 设备 隧道 建立 情况 

Hub 设备 和 Spoke 设备 之 间 ,Hub 设备 和 Hub 设备 之 间 常 见 的 问题 主要 是 链 路 问题 ,可 
在 Hub 设备 上 检查 Hub 与 其 他 设备 之 间 建 立 起 的 隧道 信息 。 

MS: display dvpn session all 

例如 : 查看 Hub 设备 上 的 隧道 建立 信息 ,如 果 有 其 中 一 台 设备 没有 能 与 之 建立 起 隧道 信 
息 , 则 将 不 会 在 信息 中 显示 出 来 。 其 他 Hub 和 Spoke 设备 与 该 设备 之 间 均 正常 建立 起 了 
隧道 。 


hubl> display dvpn session all 
Interface: Tunnell VPN name: 1 Total number: 3 


Private IP: 10.0.1.2 


Public IP: 192.168.1.2 
Session type: Hub-Hub 
State: SUCCESS 


Holding time: Oh 10m 15s 

Input: 81 packets, 80 data packets, 1 control packets 
73 multicasts, 0 errors 

Output: 83 packets, 82 data packets, 1 control packets 
71 multicasts, 0 errors 


Private IP: 10.0.1.3 


Public IP: 192.168.1.3 
Session type: Hub-Spoke 
State: SUCCESS 


Holding time: Oh 12m 4s 

Input: 98 packets, 97 data packets, 1 control packets 
89 multicasts, 0 errors 

Output: 106 packets, 105 data packets, 1 control packets 
90 multicasts, 0 errors 


从 Spoke 设备 检查 隧道 的 建立 情况 时 ,要 首先 考虑 DV PN 的 组 网 类 型 是 属于 哪 一 种 。 

DVPN 有 两 种 典型 的 组 网 结构 ,Full-Mesh 网 络 和 Hub-Spoke 网 络 。 

O Full-Mesh 网 络 中 ,Spoke 之 间 可 以 建立 隧道 直接 通信 .Hub 主要 作为 路 由 信息 交换 的 
中 心 。 

@ Hub-Spoke 网 络 中 ,Spoke 之 间 不 能 建立 隧道 直接 通信 ,只 能 通过 Hub 转发 数据 ， 
Hub 既 作为 路 由 信息 交换 的 中 心 :又 作为 数据 转发 的 中 心 。 

命令 : display dvpn session all 

例如 : 在 Hub-Spoke 网 络 中 ,通过 该 命令 检查 ,Spoke 与 Hub 之 间 建 立 起 的 隧道 情况 , 当 
链 路 不 通 时 ,将 无 法 建立 。 
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[spokel] display dvpn session all 
Interface: Tunnell VPN name: 1 Total number: 2 


Private IP: 10.0.1.2 


Public IP: 192.168.1.2 
Session type: Spoke-Hub 
State: SUCCESS 


Holding time: 0h 40m 2s 

Input: 258 packets, 257 data packets, 1 control packets 
252 multicasts, 0 errors 

Output: 727 packets, 726 data packets, 1 control packets 
250 multicasts, 0 errors 


Private IP: 1050 


Public IP: 192.168.1.1 
Session type: Spoke-Hub 
State: SUCCESS 


Holding time: 0h 43m 3s 

Input: 299 packets, 298 data packets, 1 control packets 
281 multicasts, 0 errors 

Output: 291 packets, 290 data packets, 1 control packets 
280 multicasts,0 errors 


(7) 检查 Hub 隧道 配置 

在 Hub 上 需要 检查 隧道 配置 参数 与 其 他 Hub 和 Spoke 上 的 隧道 配置 参数 是 否 一 致 ,对 
等 体 预 共享 密 钥 .安全 协议 验证 算法 .Tunnel 封装 协议 以 及 网 络 类 型 是 否 一 致 ,如 果 不 一 致 将 
会 导致 障 道 无 法 建立 起 来 。 


# 
ike peer vam 
pre-shared-keyabcde // 配 置 IKE 对 等 体 
# 
ipsec transform-set vam // 配 置 IPSec 安全 提议 


encapsulation-mode tunnel 
transform esp 
esp authentication-algorithm shal 
# 
ipsec profile vamp // 配 置 IPSec 安全 框架 
pfs dh-group2 
ike-peer vam 
transform-set vam 
sa duration traffic-based 6000 
# 
interface Tunnell 
ip address 10.0.1.1 255.255.255.0 


tunnel-protocol dvpn udp // 隧 道 封装 协议 类 型 
source GigabitEthernet0/0 
ospf network-type broadcast // 网 络 类 型 
ipsec profile vamp 
# 


vam client dvpnlhubl 
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(8) 检查 Spoke 隧道 配置 

在 Spoke 设备 上 检查 隧道 配置 参数 ,需要 考虑 网 络 类 型 ,如 果 是 Full-Mesh 类 型 的 网 络 ， 
需要 检查 与 其 他 Hub 和 Spoke 上 的 隧道 配置 参数 是 否 一 致 ; 如 果 是 Spoke-Hub 网 络 类 型 , 则 
只 需要 检查 与 对 端 Hub 上 隧道 参数 是 否 一 致 。 然 后 检查 对 等 体 预 共享 密 钥 、 安 全 协议 验证 算 
法 、Tunnel 封装 协议 以 及 网 络 类 型 是 否 一 致 ,如 果 不 一 致 将 会 导致 隧道 无 法 建立 起 来 。 


# 

ike peer vam // 配 置 IKE 对 等 体 
pre-shared-keyabcde 

# 

ipsec transform-set vam // 配 置 IPSec 安全 提议 


encapsulation-mode tunnel 
transform esp 
esp authentication-algorithm shal 
# 
ipsec profile vamp // 配 置 IPSec 安全 框架 
pfs dh-group2 
ike-peer vam 
transform-set vam 
sa duration traffic-based 6000 
# 
interface Tunnell 
ip address 10.0.1.3 255.255.255.0 


tunnel-protocol dvpn udp // 隧 道 封装 协议 类 型 
source GigabitEthernet0/0 
ospf network-type broadcast // 网 络 类 型 


ipsec profile vamp 
vam client dvpnlspokel 


# 
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1. 开始 

AM 接口 可 实现 模拟 拨号 用 户 的 拨号 接 人 /呼出 功能 , 受 线路 及 协议 影响 较 大 ,定位 故障 
的 思路 是 : 先 查 看 物理 层 状 态 ,检查 线路 连接 ,触发 条 件 ,之 后 排查 设备 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 接口 物理 状态 

查看 路 由 器 上 AM 接口 物理 状态 ,确认 其 接口 状态 与 协议 是 否 Up, AM 接口 正常 使 用 状 
态 下 其 接口 协议 与 当前 状态 都 为 Up. 

命令 : display interface analogmodem inter face-number 


例如 : 通过 命令 查看 路 由 器 AM2/0 当前 状态 Up, 协 议 Up。 


[H3C] display interface analogmodem 2/0 

Analogmodem2/0 current state: Up 

Line protocol current state: Up 

Description: Analogmodem2/0 Interface 

The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet Address is 6.6.5.5/24 Primary 

Link layer protocol is PPP 

LCP opened, IPCP opened 


如 果 AM 接口 当前 状态 为 Down,' 则 查看 面板 指示 灯 是 否 闪 烁 ,如 果 有 闪烁 则 可 确认 报 文 
已 送 到 该 AM 接口 ; 之 后 通过 电话 拨打 测试 ,如 果 线 路 正常 , 则 电话 拨打 可 听 到 清楚 的 
Modem 拨号 音 。 

(2) 排查 线路 

选择 正确 的 线 缆 类 型 。 对 于 PSTN 线路 ,可 通过 拨打 电话 方式 进行 测试 : 线路 两 端 连 接 
普通 PSTN 电话 机 ,互相 拨打 测试 ,如 果 通 话 正常 .无 杂音 , 则 将 设备 侧 PSTN 线路 连接 到 
AM 接口 ,再 次 拨打 测试 。 正 常情 况 下 ,拨打 AM 接口 可 以 听 到 清晰 的 Modem R5 

(3) 检查 触发 条 件 

AM 接口 拨号 应 用 中 需 配 置 感 兴趣 数据 流 触发 接口 拨号 , 当 无 符合 的 匹配 条 件数 据 流 经 
过 时 ,AM 接口 状态 为 Down。 检 查 设备 dialer rule 配置 ,如 使 用 ACL 来 匹配 数据 流 , 可 使 用 
display acl all 命令 查看 匹配 项 。 

例如 : 使 用 display acl all 查看 ACL number 为 2000 的 规则 是 否 有 报 文 匹配 ,显示 信息 
中 为 有 2 次 匹配 。 


[H3C] display acl all 

Basic ACL 2000, named flow,1 rules, 
This is an IPv4 basic ACL. 

Statistics is enabled 

ACL's 


step is 5 
rule0 permit source 1.1.1.1 0 (2 times matched) 


118 根 叔 的 云图 一 一 网 络 故 障 大 排查 


(4) 检查 配置 
AM 接口 主要 应 用 于 拨号 ,检查 配置 应 关注 与 AM 接口 的 相对 应 的 TTY 虚 接 口 是 否 启 


动 Modem 的 呼 入 与 呼出 ,拨号 使 用 的 被 叫 号 码 、 验 证 方式 及 用 户 名 密码 等 DCC 拨号 相关 
配置 。 


h display current-con figuration 


例如 : 在 设备 上 通过 display current-configuration 查看 配置 是 否 正确 。 


[H3C] display current-configuration 
# 
interface Analogmodem5/9 
async mode protocol 
link-protocol ppp 
dialer enable-circular 
dialer circular-group 1 
# 
interface Dialer1 


link-protocol ppp 
ppp pap local-user h3c password simple h3c ”// 配 置 用 户 名 与 密码 


ip address 12.1.1.2 255.255.255.0 


(HERSE 


dialer enable-circular // 配 置 拨号 方式 
dialer-group 1 // 配 置 拨号 组 
// 配 置 号 码 路 由 


dialer route ip 12.1.1.1 1427 


# 
ip route-static 0.0.0.0 0.0.0.0 Dialer1 // 配 置 拨号 后 路 由 
# 
dialer-rule 1 ip permit // 配 置 触 发 条 件 
# 
// 配 置 Modem 的 呼叫 呼 入 与 呼出 


user-interface tty 81 92 
modem call-both 
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1. 开始 

FCM 板 卡 承载 金融 POS 机 刷卡 交易 业务 ,使 用 中 出 现 的 问题 一 般 与 线路 及 业务 报 文 关 
系 较 大 ,定位 故障 的 思路 是 : 先 查 接口 硬件 ,之 后 查 线路 连通 性 与 质量 ,最 后 排查 交易 报 文 是 
否 正常 。 

2. 流程 图 相关 操作 说 明 

(1) 板 卡 硬件 排查 

首先 从 POS 机 侧 确认 故障 现象 ,交易 业务 是 否 成 功 , 即 POS 机 是 否 能 正确 完成 查询 、 消 
费 等 业务 ,之 后 FCM 接口 状态 与 接口 对 应 Terminal ID 的 报 文 收发 统计 信息 。 

命令 : display posa status terminal 

例如 : 显示 FCM5/0 接口 Up 处 于 连接 状态 ,注意 只 有 接口 正在 交易 时 FCM 接口 才 


会 Up。 


[H3C] display posa status terminal 


TerminalID Type Interface ListenPort State 
11 TCP = 2000 linked 
2 FCM fems/0 = Up 


命令 : display posa statistics terminal 


例如 : 查看 Terminal ID 为 2 的 接口 收发 报 文 一 致 ,无 错 包 ,无 链 路 丢 包 。 


[H3C] display posa statistics terminal 

TerminalID Receive Send PktErr DisErr InDiscarded QutDiscarded 
lÍ 100 100 0 0 0 0 

2 60 60 0 0 0 0 


如 果 报 文 统计 发 生 异 常 , 连 接 无 法 Up, 则 需 通 过 如 下 测试 方法 判断 是 否 硬件 问题 导致 。 

当 POS 机 侧 进行 交易 时 ,查看 FCM 单 板 指示 灯 是 否 闪 烁 ,如 果 指 示 灯 没有 亮 , 则 有 可 能 
是 线路 或 板 卡 硬件 问题 ,此 时 可 以 将 FCM 侧 与 POS 侧 更 换 为 普通 PSTN 电话 机 ,拨打 测试 ， 
确认 是 否 可 以 互通 ,如 果 可 以 互通 则 可 判断 为 设备 侧 问题 。 

(2) 线路 质量 测试 

查看 接口 信息 中 错 包 统计 , 错 包 率 较 高 , 则 可 能 为 线路 质量 较 差 造 成 ,此 时 会 影响 交易 的 

MS: display interface fem interface-number 


例如 : 只 有 在 有 交易 时 ,该 接口 物理 才 会 Up ,和 否则 是 Down 的 状态 。 


[H3C] display interface fcm6/0 

Fcm6/0 current state: Down 

Line protocol current state: Down 

Description: Fem6/0 Interface 

The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet protocol processing : disabled 

Link layer protocol is PPP 
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LCP initial 
Last 300 seconds input rate 0.00 bytes/sec, 0.00 packets/sec 
Last 300 seconds output rate 0.00 bytes/sec, 0.00 packets/sec 
Input: 0 packets, 0 bytes 
0 broadcasts, 0 multicasts 
0 errors,0 runts, 0 giants 
0 CRC, 0 align errors, 0 overruns 
0 dribbles, 0 aborts, 0 no buffers 
0 frame errors 
Output:0 packets, 0 bytes 
0 errors,0 underruns, 0 collisions 
0 deferred 


(3) 线路 测试 

线路 测试 方法 为 : 两 端 接 电话 机 , 互 拨 通 话 后 ,确认 是 否 存在 杂音 ; FCM 接口 连接 线路 ， 
POS 机 侧 电 话 拨打 ,确认 是 否 可 以 听 到 清晰 的 Modem 拨号 音 , 如 果 通 话 存在 杂音 ,无 法 听 到 
清晰 的 Modem 音 , 则 可 确认 线路 质量 存在 问题 。 线 路 测试 需要 多 次 拨打 ,并 保证 现象 一 致 。 

(4) 业务 报 文 测试 

路 由 器 收 不 到 POS 机 发 送 的 报 文 ,可 以 通过 如 下 方式 排查 ,设备 开启 debugging posa all 
开关 ,POS 侧 进行 交易 ,查看 debug 信息 中 是 否 有 接口 的 POS 交易 报 文 。POS 业务 交易 报 文 
流程 比较 简单 ,每 一 笔 业务 交易 需要 四 个 报 文 。 

命令 : debugging posa all 

例如 : FCM5/3 接口 对 应 Terminal 4 接口 的 报 文 交互 过 程 如 下 。 


WJul 6 13:02:29:269 2011 MSR50 IFNET/3/LINK_UPDOWN: Fcm5/3link status is Up. // 收 到 
呼叫 ,接口 Up 
*Jul 6 13:02:29:269 2011 MSR50 POSA/7/EVENT: 
Received IOCtrl(1) message from line(84) . 
*Jul 6 13:02:29:270 2011 MSR50 POSA/7/EVENT: 
Terminal 4: Received line up message. 
Received 300 bytes from fem terminal 4 // 收 到 POS 机 发 来 的 报 文 
ID(0x60) DST(0x0003) SRC(0x0000) 
Total length: 300 Offset: 0, partial data as follows: 
0x000: 60 00 03 00 00 13 04 08 00 20 20 01 00 00 c0 00 
0x010: 08 99 00 00 00 03 70 00 18 33 32 30 30 30 30 30 
* Jun 28 09:49:10:851 2011 MSR50 POSA/7/EVENT: 
App 1: Succeeded to send connecting request to server. 
Sent 302 bytes to tcp application 1. // 发 送 给 前 置 机 
PktLen(0x012c) ID(0x60) DST(0x0003) SRC(0x0004) 
Total length: 302 Offset: 0, partial data as follows: 
0x000: 01 2c 60 00 03 00 04 13 04 08 00 20 20 01 00 00 
0x010: c0 00 08 99 00 00 00 03 70 00 18 33 32 30 30 30 
* Jun 28 09:49:10:854 2011 MSR50-40 POSA/7/EVENT: 
App 1: Received ASYN_READ message from socket(1). 
* Jun 28 09:49:10:854 2011 MSR50-40 POSA/7/PACKET: 
Received 353 bytes from tcp application 1. // 收 到 前 置 机 的 回应 报 文 
PktLen(0x0161) ID(0x60) DST(0x0004) SRC(0x0003) 
Total length: 353 Offset: 0, partial data as follows: 
0x000: 01 61 60 00 04 00 03 13 04 08 10 20 38 01 00 02 
0x010: cl 01 08 99 00 00 00 03 70 17 34 10 02 22 00 18 
* Jun 28 09:49:10:954 2011 MSR50 POSA/7/PACKET: 
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Sent 351 bytes to fcm terminal 4. // 发 送 给 POS 机 
ID(0x60) DST(0x0000) SRC(0x0003) 
Total length: 351 Offset: 0, partial data as follows: 
0x000: 60 00 00 00 03 13 04 08 10 20 38 01 00 02 cl 01 
0x010: 08 99 00 00 00 03 70 17 34 10 02 22 00 18 30 30 
%Jul 6 13:03:04:075 2011 MSR50 IFNET/3/LINK_UPDOWN: Fcm5/3 link status is Down. //POS 机 
挂 断 
* Jun 28 09:49:23:647 2011 MSR50 POSA/7/EVENT: 
Terminal 4: Received IOCtrl(2) message from line(84) Object-Type(1) Index(5308659) If-Type(89). 
* Jun 28 09:49:23:647 2011 MSR50-40 POSA/7/EVENT: 
Terminal 4: Received line down message. 
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02 路 由 技术 GSS 2.5.3 E1POS 接口 故障 排查 > smua d 


1. 开始 


E1POS 问题 故障 现象 多 表现 为 刷卡 失败 率 高 , 冲 正 率 高 .POS 机 侧 交易 超时 等 ,此 类 问题 
多 与 线路 质量 相关 ,定位 故障 的 思路 是 :首先 查 板 卡 硬件 ,之 后 排查 线路 质量 ,最 后 检查 业务 交 
易 报 文 。 

2. 流程 图 相关 操作 说 明 

(1) 板 卡 硬件 排查 

通过 命令 查看 接口 连接 状态 ,及 接口 时 隙 下 错 包 ,判断 线路 质量 及 板 卡 是 否 有 问题 。 板 卡 
接口 在 存在 交易 时 候 接 口 无 法 Up, 则 可 能 为 板 卡 硬件 问题 ; 接口 存在 大 量 错误 报 文 则 与 线路 
及 板 卡 硬件 相关 , 需 进一步 排查 。 


命令 : display posa status terminal 


display interface fcm interface-number 


例如 : 查看 接口 连接 状态 Up, 及 对 应 时 际 下 无 错 包 。 


[H3C] display posa status terminal 


TerminallD Type Interface ListenPort State 
l FCM Fem5/0:15.0 = Up 
31 FCM Fcm8/0:15.0 = Up 


[H3C] display interface Fem5/0:15.0 
Fcm5/0:15.0 current state: Down 
Line protocol current state: Down 
Description: Fem5/0:15.0 Interface 
The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet protocol processing : disabled 
Last clearing of counters: 10:28:40 Fri 04/26/2013 
Last 300 seconds input rate 0.00 bytes/sec, 0.00 packets/sec 
Last 300 seconds output rate 0.00 bytes/sec, 0.00 packets/sec 
Input: 0 packets, 0 bytes 
0 broadcasts, 0 multicasts 
0 errors, 0 runts, 0 giants 
1 CRC, 0 align errors, 0 overruns 
0 dribbles，0 aborts, 0 no buffers 
0 frame errors 
Output:0 packets, 0 bytes 
0 errors, 0 underruns, 0 collisions 
0 deferred 


(2) 线路 质量 检测 

E1POS 板 卡 要 求 运营 商 线路 使 用 无 损 编 解 码 方式 ,推荐 使 用 TDM 交换 ,使 用 G.711 无 
员 编 码 ,使 用 G723、G729 等 有 损 编 码 容易 造成 交易 失败 ,对 于 线路 质量 可 通过 命令 查看 接口 
时 隙 报 文 统 计 与 电话 拨打 测试 方式 排查 。 

命令 : display posa statistics terminal 


例如 : 显示 POS 接口 和 应 用 收 到 和 发 送 了 正确 的 报 文 , 没 有 错误 的 报 文 ,表明 业务 正常 。 
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[H3C] display posa statistics terminal 

TerminalID Receive Send PktErr MapErr InDiscarded OutDiscarded 
| 1 1 0 0 0 0 

2 Ji 1 0 0 0 0 


将 POS 机 更 换 为 电话 ,拨打 接 人 号 码 , 要 求 在 10 秒 内 可 听 到 清晰 的 Modem 音 。 


(3) 线路 排查 
通过 拨打 电话 方式 测试 ,要 求 在 10 秒 内 可 听 到 清晰 的 Modem 音 , 也 可 以 抓 取 单 板 侧 


PCM 报 文 确认 。 


(4) 业务 报 文 测试 
路 由 器 收 不 到 POS 机 发 送 的 报 文 ,可 以 通过 如 下 方式 排查 ,设备 开启 debugging posa all 


开关 ,POS 侧 进行 交易 ,查看 debug 信息 中 是 否 有 接口 的 POS 交易 报 文 ,或 根据 主 叫 号 码 抓 
取 POS 业务 交易 报 文 。 


命令 : debugging posa all 
例如 : Fem10/0:15. 8 对 应 Terminal 9 的 报 文 交互 过 程 。 


%May 415:57:29:212 2012 H3C IFNET/3/LINK_UPDOWN: Fcm10/0:15. 8link status is Up. 
// 收 到 呼叫 ,接口 Up 
* May 415:57:29:212 2012 H3C POSA/7/EVENT: 
Terminal 9: Received IOCtrl(1) message from line(505) ObjectType(1) Index(51364a) If-Type(81) . 
*May 415:57:29:212 2012 H3C POSA/7/EVENT: 
Terminal 9: Received line up message. 
*May 415:57:29:212 2012 H3C POSA/7/EVENT: 
Terminal 9 :Get FCM terminal caller-ID:5575113 // 获 取 主 叫 号 码 
*May 415:57:31:705 2012 H3C POSA/7/EVENT: 
Received data from interface(5322314). 
* May 415:57:31:705 2012 H3C POSA/7/PACKET: 
Received 196 bytes from fcm terminal 9. // 收 到 POS 机 发 来 的 报 文 
ID(0x60) DST(0x0100) SRC(0x0000) 
Total length: 196 Offset: 0, partial data as follows: 
0x000: 60 01 00 00 00 01 00 00 30 35 38 35 30 31 37 34 
0x010: 00 00 00 00 00 00 00 00 ab 02 00 20 10 20 12 04 
*May 415:57:31:705 2012 H3C POSA/7/EVENT: 
Terminal 9: Received line data message. 
* May 415:57:31:705 2012 H3C POSA/7/PACKET: 
Sent 231 bytes to tcp application 1. // 发 送 给 前 置 机 
PktLen(0x00e5) ID(0x60) DST(0x0100) SRC(0x0009) 
Total length: 231 Offset: 0, partial data as follows: 
0x000: 00 e5 60 01 00 00 09 4c 52 49 00 1c 00 00 00 00 
0x010: 05 57 51 13 00 00 00 00 00 00 00 00 00 00 00 00 
*May 415:57:34:752 2012 H3C POSA/7/EVENT: 
App 1: Received ASYN_READ message from socket(1). 
*May 415:57:34:752 2012 H3C POSA/7/PACKET: 
Received 269 bytes from tcp application 1. // 收 到 前 置 机 的 回应 报 文 
PktLen(0x010b) ID(0x60) DST(0x0009) SRC(0x0100) 
Total length: 269 Offset: 0, partial data as follows: 
0x000: 01 0b 60 00 09 01 00 01 00 23 35 35 37 35 31 31 
0x010: 33 20 20 20 20 20 20 20 20 00 f2 02 00 38 30 31 
* May 415:57:34:752 2012 H3C POSA/7/PACKET: 
Sent 267 bytes to fcm terminal 9. // 发 送 给 POS 机 
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ID(0x60) DST(0x0000) SRC(0x0100) 
Total length: 267 Offset: 0, partial data as follows: 
0x000: 60 00 00 01 00 01 00 23 35 35 37 35 31 31 33 20 
0x010: 20 20 20 20 20 20 20 00 f2 02 00 38 30 31 38 31 
%May 415:57:37:457 2012 H3C IFNET/3/LINK_UPDOWN: Fcm10/0:15.8 link status is Down. 
//POS 机 挂 断 
*May 415:57:37:458 2012 H3C POSA/7/EVENT: 
Terminal 9: Received IOCtrl(2) message from line(505) Object-Type(1) Index(51364a) If-Type(81). 
*May 415:57:37:458 2012 H3C POSA/7/EVENT: 
Terminal 9: Received line down message. 
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o manA mas 


1. 开始 
由 于 拥塞 管理 使 用 的 是 队列 技术 ,进入 队列 的 前 提 必 须要 符合 匹配 项 。 定 位 故障 的 思路 
是 : 先 检 查 匹 配 项 是 否 正确 ,再 检查 接口 队列 信息 ,再 检查 接口 是 否 拥塞 ,最 后 检查 接口 速率 
和 链 路 带宽 是 否 匹 配 。 
2. 流程 图 相关 操作 说 明 
(1) 查看 匹配 项 是 否 正确 
查看 进入 各 个 队列 的 匹配 项 是 否 正确 ,匹配 项 不 正确 ,会 导致 相应 的 流量 无 法 进入 队列 。 
命令 : PQ 队列 : display qos pql X 
CQ 队列 ; display qos cql X 
CBQ 队列 : display gos inter face interface-type interface-number 
例如 : 以 PQ 为 例 ,匹配 ACL 2000 的 数据 进入 Top 队列 ,从 GigabitEthernet0/1 进入 的 
报 文 进入 Middle 队列 ,mpls exp 等 于 5 的 报 文 进 入 Bottom 队列 。 


[H3C]display qos pql 1 
Current PQL Configuration: 
List Queue Params 


1 Top Protocol ip acl 2000 
1 Middle Inbound-interface GigabitEthernet0/1 
1 Bottom Protocol mpls exp 5 


(2) 查看 接口 队列 统计 信息 

查看 接口 下 的 队列 是 否 已 经 有 报 文 进入 。 

命令 : 

PQ 队列 : display qos pq inter face inter face-type inter face-number 

默认 队列 为 normals 

CQ 队列 : display qos cq inter face inter face-type inter face-number 

默认 进入 队列 1 。 

CBQ 队列 : display qos cbq inter face inter face-type inter face-number 

默认 进入 BE 队列 。 

例如 : 通过 命令 查看 PQ 队列 ,可 以 确认 接口 已 经 产生 拥塞 ,并 且 报 文 已 经 进入 队列 。 


[H3C]display qos pq interface g0/0 

Interface: GigabitEthernet0/0 

Output queue : (Urgent queuing : Size/Length/Discards) 0/100/0 

Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0 

Output queue : (Priority queuing : PQL 1 Size/Length/Discards) 

Top: 2/20/0 Middle: 3/40/0 Normal: 60/60/2 Bottom: 0/80/0 


(3) 检查 接口 是 否 拥塞 
使 用 如 下 命令 查看 当前 接口 流量 是 否 已 经 超过 了 链 路 带宽 。 


MA: display inter face interface-type interface-number 
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通过 命令 可 以 看 到 当前 GigabitEthernet 0/0 接口 流量 。 


[H3C] display interface GigabitEthernet 0/0 
GigabitEthernet0/0 

Current state: Up 

Line protocol state: Up 

Description: GigabitEthernet0/0 Interface 


Last clearing of counters: Never 
Last 300 seconds input rate: 486.73 bytes/sec, 3893 bits/sec, 4.96 packets/sec 
Last 300 seconds output rate: 486.73 bytes/sec, 3893 bits/sec, 4.96 packets/sec 


(4) 查看 接口 速率 和 链 路 带宽 是 否 匹 配 
普通 以 太 接 口 默认 的 带宽 都 是 百 兆 或 千 兆 ,但 是 实际 带宽 都 要 小 于 接口 带宽 ,接口 拥塞 依 
靠 的 是 接口 的 带宽 ,所 以 需要 使 用 接口 限 速 方法 将 接口 带宽 控制 在 实际 带宽 。 如 果 接 口 速率 
已 经 和 链 路 带宽 相 匹配 , 则 不 用 检查 。 


命令 : display qos lr inter face inter face-type interface-number 


例如 : 在 接口 G0/0 使 用 接口 限 速 ,使 用 命令 查看 ,可 以 看 到 ,当前 接口 被 限 速 为 8Kbps。 


[H3C]display qos lr interface GigabitEthernet 0/0 
Interface: GigabitEthernet0/0 
Direction: Outbound 
CIR 8 (Kbps), CBS 500 (byte), EBS 0 (byte) 
Passed : 27(Packets) 25710(Bytes) 
Delayed: 15(Packets) 19062( Bytes) 
Active Shaping: YES 


(5) 查看 当前 流量 是 否 超过 链 路 带宽 

因为 拥塞 管理 在 接口 拥塞 状态 下 ,队列 才 会 生效 ,所 以 接口 当前 带宽 超过 了 LR 限制 的 带 
宽 时 ,拥塞 管理 才 会 生效 .命令 同上 。 

例如 : 通过 命令 可 看 到 ,Active Shaping 变 为 了 YES, 说 明 当 前 接口 流量 已 经 超过 了 LR 
限 速 。 


[H3C]display qos lr interface GigabitEthernet 0/0 
Interface: GigabitEthernet0/0 

Direction: Outbound 

CIR 8 (kbps), CBS 500 (byte), EBS 0 (byte) 
Passed : 27(Packets) 25710(Bytes) 

Delayed: 15(Packets) 19062(Bytes) 

Active Shaping: YES 
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02 路 由 技术 zy alphus 


1. 开始 

终端 无 法 通过 H323 注册 问题 的 排 错 思 路 为 : 先 查 看 配置 ,再 查看 网 络 ,然后 在 排查 服务 
器 侧 能 否 正常 回应 请 求 报 文 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 配置 

查看 MSR 路 由 器 上 的 语音 相关 配置 是 否 正确 ,查看 配置 有 如 下 关键 点 。 

O 查看 路 由 器 是 否 配置 语音 网 关 使 用 的 源 IP 地 址 。 

© 查看 路 由 器 是 否 配置 网 关 别 名 。 

O 查看 路 由 是 否 配置 网 管 对 应 的 主 用 网 守 名 称 和 IP 地址。 

@ 查看 路 由 器 是 否 激活 GK Client 功能 。 

O 查看 路 由 器 是 否 有 可 注册 实体 。 

查看 路 由 器 是 否 开 启 注册 功能 。 

命令 : 进入 voice-setup 视图 下 使 用 display this 命令 

例如 : 通过 命令 查看 ,可 以 看 到 主 用 GK 的 名 字 为 gk-server, 地 址 为 172. 31. 123. 13, 端 
口 为 1719; 备用 GK 的 gk-server 名 字 为 gk-server-slave, 地 址 为 172. 31. 123. 14, 端 口 为 
1719,; 本 端 注册 使 用 的 源 地 址 为 1. 1. 1.9; 本 端的 网 关 名 称 为 h3c; 开启 了 注册 功能 。 


[H3C] voice-setup // 进 入 voice-setup 视图 
[H3C-voice] display this 
# 
voice-setup 
# 
gk-client 
gk-id gk-server gk-addr 172.31.123.13 1719 // 要 和 GK 的 gk-name 一 致 
gk-2nd-id gk-server-slave gk-addr 172.31.123.14 1719 


gw-address 1.1.1.9 // 一 般 使 用 路 由 的 loopback 接口 
gw-id h3c // 要 和 GK 上 配置 的 gw-id 一 致 
ras-on // 开 启 注册 功能 

# 


查看 路 由 器 是 否 有 可 注册 实体 ,可 注册 实体 要 求 如 下 。 
必须 为 Pots 实体 。 

@ Pots 实体 下 必须 要 配置 Match-Template。 

@ 实体 下 没有 配置 Undo Register-Number 命令 。 
命令 : 进入 dial-program 视图 ,使 用 display this 命令 
例如 : 通过 命令 可 以 看 到 存在 可 注册 实体 1000, 


[H3C] voice-setup // 进 入 voice-setup 视图 
[H3C-voice] dial-program // 进 入 dial-program 视图 
[H3C-voice-dial] display this 

# 
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# 


dial-program 


entity 1000 pots 
match-template 1000 
line 1/0 

# 


return 


D 排查 网 络 
查看 终端 设备 和 SIP 服务 器 之 间 是 否 可 达 包 括 以 下 两 方面 。 
O 终端 和 H323 服务 器 之 间 路 由 可 达 。 
© 终端 和 H323 服务 器 之 间 1719( 注 册 端 口 ) 和 1720( 建 立会 话 端口 ) 端 口 可 达 。 
查看 终端 和 路 由 器 之 间 是 否 路 由 可 达 。 
命令 : ping Toy 
例如 : 通过 命令 查看 ,可 以 确认 终端 和 SIP 服务 器 之 间 路 由 可 达 。 
[H3C]ping 172.31.123.13 
PING 172.31.123.13: 56 data bytes，press CTRL_C to break 
Reply from 172.31.123.13: bytes=56 Sequence 一 0 ttl=255 time=1 ms 
Reply from 172.31.123.13: bytes=56 Sequence 一 1 ttl=255 time=1 ms 
Reply from 172.31.123.13: bytes=56 Sequence 一 2 ttl=255 time=1 ms 


Reply from 172.31.123.13: bytes=56 Sequence=3 ttl=255 time=1 ms 
Reply from 172.31.123.13: bytes=56 Sequence 一 4 ttl=255 time=1 ms 


--- 172.31.123.13 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/1 ms 


路 由 可 达 后 需要 再 查看 路 由 器 和 H323 服务 器 之 间 1719 端口 是 否 可 达 。 
需要 服务 器 侧 配合 查看 是 否 能 够 收 到 路 由 器 发 出 的 请 求 报 文 , 如 果 服 务 器 侧 无 法 收 到 ,请 
排查 网 络 中 是 否 存在 防火 墙 ,如 果 存 在 防火 墙 , 请 放 通 相应 的 协议 和 端口 ,如果 不 存在 防火 墙 ， 
请 排查 协议 报 文生 在 网 络 哪个 位 置 。 
(3) 排查 服务 器 是 否 回复 报 文 
需要 协调 服务 器 侧 人 员 查 看 收 到 我 司 发 出 的 H323 请 求 报 文 后 ,服务 器 是 否 能 够 回应 ,如 
果 服 务 器 侧 没有 回应 请 协调 服务 器 侧 处 理 。 
(4) 服务 器 回复 异常 消息 
可 通过 debugging 命令 来 查看 服务 器 回复 的 消息 类 型 ,通过 服务 器 回复 的 类 型 ,可 大 致 判 
断 问题 可 能 性 。 
命令 : debugging voice ipp all 
terminal debugging 
terminal monitor 
例如 : 通过 如 上 命令 可 以 查看 到 路 由 器 向 GK 网 关 172. 31. 123. 13 发 送 RRQ 注册 报 文 ， 
然后 收 到 了 服务 回复 的 RCF ,表示 注册 成 功 。 若 GK 回复 RRI 消息 , 则 说 明 服 务 器 拒绝 网 关 
注册 ,确定 路 由 器 配置 无 误 后 ,需要 协调 服务 器 侧 排查 为 什么 拒绝 注册 。 
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x Dec 25 16:13:02:452 2013 5 IPP/7/ VOICE: 
IPP_RAS [SYS] :Send heavy RRQ (4) Msg to GK (172.31.123.13) when receive GCF Msg 
//VG 向 GK(172.31.123.13) 发 送 RRQ 注册 报 文 


* Dec 25 16:13:02:452 2013 5 IPP/7/VOICE: 
IPP_SOK [SYS]:Send a RAS Msg on Socket = 27 ,length = 75 


* Dec 25 16:13:02:468 2013 5 IPP/7/VOICE: 
IPP_SOK [SYS]: Receive Socket Msg ASYN_READ sockid = 27 


* Dec 25 16:13:02:469 2013 5 IPP/7/VOICE: 
IPP_RAS [SYS] :Receive RCF Msg, Seq=4, TTL=180 // 收 到 GK 回复 的 RCF 消息 ,说 明 
//VG 已 经 注册 成 功 
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02 路 由 技术 > 27vop Ó 步骤 详解 
1. 开始 


终端 无 法 通过 SIP 注册 问题 的 排 错 思路 为 : 先 查看 配置 ,再 查看 网 络 ,然后 再 排查 服务 器 
侧 能 否 正 常 回 应 SIP 请 求 报 文 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 配置 

查看 MSR 路 由 器 上 的 语音 相关 配置 是 否 正确 ,查看 配置 有 两 个 关键 点 : 查看 路 由 器 是 
BIJA SIP 注册 功能 ; @ 查 看 路 由 器 是 否 有 可 注册 实体 。 

查看 路 由 器 是 否 开 启 注册 功能 。 

命令 : 进入 SIP 视图 下 使 用 display this 命令 

例如 : 通过 命令 查看 ,当前 主 用 的 SIP 服务 器 地 址 为 172. 31. 123. 121; 备用 sip 服务 器 地 
址 为 172. 31. 123.123; 当前 开 了 SIP 注册 功能 。 


N 
s 
N 
IÈ 
E 


通过 SIP 无 法 注册 故障 排查 


[H3C] voice-setup // 进 入 voice-setup 视图 
[H3C-voice]sip // 进 入 SIP 视图 
[H3C-voice-sip] display this 
# 
# 
sip 
registrar ipv4 172.31.123.121 // 主 用 SIP 服务 器 地 址 
registrar ipv4 172.31.123.123 slave //# BF SIP 服务 器 地 址 
register-enable on // 开 启 注册 功能 
# 
return 


查看 路 由 器 是 否 有 可 注册 实体 ,可 注册 实体 要 求 : 四 必须 为 Pots 实体 ; @ Pots 实体 下 必 
须 配 置 Match-Template; @ 实 体 下 没有 配置 Undo Register-Number 命令 。 

命令 : 进入 dial-program 视图 ,使 用 display this 命令 

例如 : 通过 命令 可 以 看 到 存在 可 注册 实体 4000。 


[H3C] voice-setup // 进 入 voice-setup 视图 
[H3C-voice] dial-program — // 进 入 dial-program 视图 
[H3C-voice-dial] display this 
# 
# 
dial-program 
# 
entity4000 pots 
match-template4000 // 需 要 注册 的 号 码 
line 1/0 // 此 实体 对 应 的 接口 
# 


return 


(2) 排查 VG 与 SIP 服务 器 是 否 路 由 可 达 
查看 终端 设备 和 SIP 服务 器 之 间 是 否 可 达 包 括 两 方面 : 终端 和 SIP 服务 器 之 间 路 由 可 
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达 ; @ 终 端 和 SIP 服务 器 之 间 5060 端口 可 达 。 
查看 终端 和 路 由 器 之 间 是 否 路 由 可 达 。 
命令 : ping rimta 


例如 : 通过 命令 查看 ,可 以 确认 终端 和 SIP 服务 器 之 间 路 由 可 达 。 


[H3C]ping 172.31.123.121 
PING 172.31.123.121: 56 data bytes, press CTRL_C to break 
Reply from 172.31.123.121: bytes=56 Sequence=0 ttl=255 time=1 ms 
Reply from 172.31.123.121: bytes=56 Sequence=1 ttl=255 time=1 ms 
Reply from 172.31.123.121: bytes=56 Sequence=2 ttl=255 time=1 ms 
Reply from 172.31.123.121: bytes=56 Sequence=3 ttl=255 time=1 ms 
Reply from 172.31.123.121: bytes=56 Sequence 一 4 ttl=255 time=1 ms 


--- 172.31.123.121 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/1 ms 


路 由 可 达 后 需要 再 查看 路 由 器 和 SIP 服务 器 之 间 5060 端口 是 否 可 达 。 

需要 服务 器 侧 配合 查看 是 否 能 够 收 到 路 由 器 发 出 的 请 求 报 文 , 如 果 服 务 器 侧 无 法 收 到 ,请 
排查 网 络 中 是 否 存在 防火 墙 ,如 果 存 在 防火 墙 ,请 放 通 相 应 的 协议 和 端口 ,如果 不 存在 防火 墙 ， 
请 排查 协议 报 文生 在 网 络 哪个 位 置 。 

MSR 路 由 器 SIP 默认 基于 UDP ,使 用 默认 端口 为 UDP ,可 更 改 。 

可 选 基于 TCP 和 TLS。 

命令 : 进入 SIP 视图 下 使 用 display this 命令 

例如 : 通过 如 上 命令 可 以 查看 到 主 用 服务 器 基于 TCP、 端 口号 使 用 50000 的 SIP 协议 ; 
备用 服务 器 使 用 默认 ,基于 UDP, 端 口号 为 5060 的 SIP 协议 。 

说 明 : VG 上 使 用 的 注册 端口 取决 于 SIP 服务 器 , 若 SIP 服务 器 没有 做 特殊 设置 ,那么 请 
使 用 标准 的 5060 端口 , 若 SIP 服务 器 要 求 使 用 特殊 端口 , 则 VG 侧 需 要 配合 SIP 服务 器 做 
更 改 。 


[H3C] voice-setup 
[H3C-voice]sip 
[H3C-voice-sip]display this 
# 


sip 
registrar ipv4 172.31.123.121 port 50000 tcp 
registrar ipv4 172.31.123.123 port 5060 slave 
register-enable on 

# 


return 


(3) 排查 SIP 服务 器 是 否 回 正常 响应 VG 发 出 的 注册 报 文 

需要 协调 服务 器 侧 人 员 查 看 收 到 我 司 发 出 的 SIP 请 求 报 文 后 ,服务 器 是 否 能 够 回应 200 
OK 或 者 401 鉴 权 消息 ,如 果 服 务 器 侧 没 有 回应 请 协调 服务 器 侧 处 理 。 

说 明 : 200 OK 消息 代表 服务 器 同意 注册 并 返回 注册 成 功 消息 ; 401 消息 代表 服务 器 同意 
注册 ,但 是 需要 VG 上 送 鉴 权 消息 (注册 的 用 户 名 密码 等 ),VG 重新 发 送 带 有 鉴 权 消息 的 注册 
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报 文 ,如 果 鉴 权 通过 , 则 服务 器 回复 200 OK 消息 告知 VG 注册 成 功 。 
(4) 查看 服务 器 回复 异常 报 文 
可 通过 debugging 命令 来 查看 服务 器 回复 的 消息 类 型 ,通过 服务 器 回复 的 类 型 ,可 大 致 
判断 问题 可 能 性 。 
命令 : debugging voice sip message 
terminal debugging 
terminal monitor 
例如 : 通过 如 上 deb 可 查看 到 路 由 器 向 SIP 服务 器 发 出 注册 消息 ,本 地 地 址 为 172. 31. 
123. 19,SIP 服务 器 地 址 为 172. 32. 123. 121 ,注册 的 号 码 为 4000; 服务 器 回复 了 200 OK 报 
文 ,注册 成 功 。 


* Dec 25 15:20:32:666 2013 5 SIP/7/VOICE: 

Stack---> NetWork: // 路 由 器 向 外 发 出 SIP 注册 消息 
REGISTER sip:172.31.123.121:5060 SIP/2.0 

Via: SIP/2.0/UDP 172.31.123.19:5060;branch 一 z9hG4bKf10253b3bf2 
Call-ID: 5e5a0cc9ae20da542b5b2bd4c7db3398@172.31.123.19 

From: <sip:4000@172.31.123.121> ;tag= bf2e990¢ 

To: —sip:4000@172.31.123.121— 

CSeq: 1 REGISTER 

Contact: <sip:4000@172.31.123.19:5060> 

Expires: 3600 

Allow: INVITE, ACK, OPTIONS, BYE, CANCEL, REGISTER, INFO, PRACK, SUBSCRIBE, 
NOTIFY, UPDATE, REFER 

Date: Wed, 25 Dec 2013 15:20:32 GMT 

Max-Forwards: 70 

Supported: timer 

Content-Length: 0 


* Dec 25 15:20:32:714 2013 5 SIP/7/VOICE: 

NetWork--->Stack: // 路 由 器 收 到 服务 器 回复 的 报 文 

SIP/2.0 200 OK //200 OK 表示 注册 成 功 

via: SIP/2.0/UDP 172.31.123.19:5060;branch=z9hG4bKf10253b3bf2 
from: <sip:4000@172.31.123.121> ;tag 一 bf2e990c 

to: <sip:4000@172.31.123.121> ;tag 一 a4f0763c 

call-id: 5e5a0cc9ae20da542b5b2bd4c7db3398@172.31.123.19 

cseq: 1 REGISTER 

date: Wed, 25 Dec 2013 07:03:19 GMT 

contact: <sip:4000@172.31.123.19:5060> 

allow: INVITE, ACK, BYE, CANCEL, REFER, SUBSCRIBE, NOTIFY, PRACK, UPDATE, 
OPTIONS, MESSAGE, FEATURE 

supported: timer 

expires: 3600 

user-agent: 3Com VCX 7210 IP CallProcessor/v10.0.8 

content-length: 0 
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1. 开始 

DMC 的 故障 问题 多 为 无 法 正确 识别 设备 ,故障 定位 思路 为 : 检查 配置 是 否 正确 .检查 被 
管理 设备 Console H ,排查 线 缆 线 序 检查 串口 板 卡 、 查 看 被 管理 设备 的 软件 版 本 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 配置 是 否 正 确 

查看 配置 包括 全 局 下 是 否 使 能 DMC 功能 、 接 口 以 及 TTY 下 的 相应 配置 .TTY 的 标号 。 


MS: display user-interface 


display current-con figuration 


[DMC]display user-interface 
Idx Type Tx/Rx Modem Privi Auth Int 
81 TTY 81 9600 s 0 N Asy5/0 


[DMC] display current-configuration 
dmc enable 


interface Async5/0 
async mode flow 
undo detect dsr-dtr 
link-protocol ppp 


user-interface tty 81 86 
undo shell 
flow-control none 
redirect enable 


# 


(2) 检查 被 管理 设备 Console H 

DMC 设备 如 果 无 法 正确 识别 设备 ,首先 使 用 PC 通过 Console 线 缆 连 接 被 管理 设备 
Console O ,查看 是 否 能 正确 进入 设备 控制 台 。 

(3) 排查 线 缆 线 序 

DMC 服务 器 和 成 员 设备 之 间 的 连接 线 缆 线 序 如 图 2-2 所 示 o 


2-2 连接 线 缆 线 序 
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(4) 检查 串口 板 卡 

车 成 员 设 备 和 线 缆 都 已 经 确定 没有 问题 , 接 下 来 可 以 排查 DMC 设备 板 卡 ,可 以 通过 检查 
接口 下 是 否 有 错 包 、 更 换 DMC 板 卡 槽 位 .更 换 能 正常 使 用 的 其 他 正常 板 卡 做 替换 测试 从 而 确 
定 板 卡 是 否 有 问题 。 


MẸ: display interface Async interface-number 


例如 : 通过 命令 查看 路 由 器 Async 5/0 接口 。 


[DMC] display interface Async 5/0 
Async5/0 current state: Up 
Line protocol current state: Up 
Description: Async5/0 Interface 
The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Last 300 seconds output rate 0.00 bytes/sec, 0 bits/sec, 0.00 packets/sec 
Input: 1 packets, 0 bytes 
0 broadcasts, 0 multicasts 
1 errors, O runts，0 giants 
0 CRC, 0 align errors, 0 overruns 
0 dribbles, 0 aborts, 0 no buffers 
1 frame errors 
Output:10 packets, 42 bytes 
0 errors, 0 underruns，0 collisions 
0 deferred 
DCD=Down DTR=Up DSR=Up RTS=Up CTS=Down 


(5) 查看 被 管理 设备 使 用 的 软件 版 本 
如 果 经 过 排查 ,上 述 步骤 都 没有 问题 ,在 DMC 设备 上 使 用 反 向 Telnet, 确 认 是 否 能 正常 


登录 到 被 管理 设备 ,如 果 反 向 Telnet 能 正常 登录 ,但 是 Web 页 面 无 法 正常 使 用 , 则 进一步 检 
查 被 管理 设备 的 软件 版 本 。 
命令 : display version 


例如 : 通过 命令 查看 被 管理 设备 的 软件 版 本 。 


[H3C] display version 


H3C Comware Platform Software 

Comware Software, Version 5.20, Release 2312P20, Standard 

Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 
H3C MSR30-40 uptime is 0 week, 0 day, 0 hour, 14 minutes 

Last reboot 2013/04/20 17:13:30 

System returned to ROM By =Reboot> Command. 
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03 交换 技术 3.1 以 太 网 二 层 技术 3.1.1 以 太 网 口 故障 排查 步骤 详解 


1. 开始 

以 太 网 口 定位 故障 的 思路 是 : 先 查 看 端口 状态 ,Up 时 检查 端口 错 包 是 否 增长 ,根据 错 包 
类 型 排查 链 路 ,Down 时 排查 配置 和 链 路 ,如 果 是 电 口 检查 协商 状态 ,并 进行 内 环 测试 ,若是 光 
口 查 看 收发 光 功率 是 否 正 常 , 尾 纤 自 环 是 否 Up, 最 后 进行 蔡 换 操作 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 端口 是 否 Down 

查看 物理 端口 状态 ,确认 端口 Up。 

W display inter face GigabitEthernet inter face-number 

例如 : 通过 命令 确认 物理 端口 是 否 Up。 


<H3C>display interface GigabitEthernet 1/0/1 
GigabitEthernet1/0/1 current state: Down 


(2) 检查 Down 类 型 

查看 物理 端口 状态 ,通常 有 Up ,物理 Down、Down( 类 型 ) 三 种 状态 。 

MA: display inter face GigabitEthernet interface-number 

例如 : 通过 命令 查看 ,G1/0/1 为 Down (Administratively) 状态 , 即 端口 视图 下 配置 了 


Shutdown。 


< H3C>4display interface GigabitEthernet 1/0/1 
GigabitEthernet1/0/1 current state: Down ( Administratively ) 


状态 Down 还 有 其 他 类 型 ,如 下 。 

O Link-Aggregation interface Down: 聚合 逻辑 口 配 置 Shutdown。 

© Loop Down: Loopback-Detection 监测 到 环 路 ,端口 被 强制 关闭 。 

@ BPDU-Protected: 该 端口 在 BPDU Guard 功能 的 作用 下 被 关闭 。 

@ Monitor-Link Uplink Down: 同一 个 Monitor Link 组 里 的 上 行 端口 Down 导致 本 端 
口 Down。 

© Port Security Disabled; 检测 到 端口 收 到 非法 报 文 ,端口 安全 的 入 侵 检 测 机 制 将 端口 

(3) 检查 错 包 增长 情况 

检查 接口 输入 /输出 是 否 有 大 量 的 错误 包 , 如 有 则 优化 网 络 或 排查 链 路 。 

MA: display interface GigabitEthernet inter face-number 

例如 : 查询 端口 G1/0/2 端口 信息 ,可 以 通过 命令 reset counters interface 清除 原 有 计数 。 

入 方向 : 如 果 端 口 入 包 统 计 不 增加 ,建议 排查 对 端 设备 ; 如 果 端 口 入 包 的 错误 统计 频繁 
增加 : 建议 测试 链 路 ,替换 网 线 或 测试 光 训 ,调整 两 端 端口 的 工作 模式 。 

出 方向 : 查询 对 端的 和 人 包 统计 ,如 果 overruns, ignored 计数 增加 ,建议 排查 对 端 设 备 , 如 
果 CRC, frame, throttles 计数 增加 ,建议 替换 链 路 , 链 路 质量 差 或 者 线路 光 训 大 会 导致 报 文 在 
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传输 过 程 中 出 错 。 


<H3C>display interface GigabitEthernet 1/0/2 
GigabitEthernet1/0/2 current state: Down ( Link-Aggregation interface down ) 


Input (total): 4083 packets, 595822 bytes 

1785 unicasts, 501 broadcasts, 1797 multicasts, 0 pauses 
Input (normal): 4083 packets, - bytes 

1785 unicasts, 501 broadcasts, 1797 multicasts, 0 pauses 
Input: 0 input errors, 0 runts，0 giants, 0 throttles 

0 CRC, 0 frame, - overruns, 0 aborts 

- ignored, - parity errors 
Output (total): 4198 packets, 593898 bytes 

1864 unicasts, 538 broadcasts, 1796 multicasts, 0 pauses 
Output (normal) : 4198 packets, - bytes 

1864 unicasts, 538 broadcasts, 1796 multicasts, 0 pauses 
Output: 0 output errors, - underruns, - buffer failures 

0 aborts, 0 deferred, 0 collisions, 0 late collisions 

0 lost carrier, - no carrier 


(4) 端口 是 否 是 光 口 

通过 查看 以 太 网 端口 类 型 。 

MA: display inter face GigabitEthernet interface-number 

例如 : 通过 命令 查看 , 若 显示 Media type is twisted pair 表示 是 双 绞 线 作为 媒介 的 电 口 ， 
若 显 示 Media type is not sure, Port hardware type is No connector 一 般 认为 是 光 口 。 


<H3C>display interface GigabitEthernet 1/0/1 
GigabitEthernet1/0/1 current state: Down ( Administratively ) 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e2b2-35ae 
Description: GigabitEthernet1/0/1 Interface 
Loopback is not set 
Media type is not sure, Port hardware type is No connector 


(5) 检查 双 工 速率 

当 设置 端口 为 自 协商 (Auto) 状 态 时 ,端口 的 速率 双 工 状态 由 本 端口 和 对 端 端口 自动 协商 
而 定 , 两 端 双 工 速率 需 匹 配 一 致 。 

MS: display interface GigabitEthernet interface-number 


例如 : 通过 命令 查看 ,G1/0/1 自 协商 为 千 兆 双 工 模式 。 


<H3C>display interface GigabitEthernet 1/0/1 


Port hardware type is 1000_BASE T 
1000Mbps-speed mode, full-duplex mode 
Link speed type is autonegotiation, link duplex type is autonegotiation 


(6) 内 环 测试 替换 网 线 
内 环 测 试 在 交换 芯片 内 部 建立 自 环 ,用 以 确认 接口 内 部 没 问题 。 


命令 : loopback internal 
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例如 : G1/0/1 自 环 测试 成 功 。 说 明 接口 内 部 没 问题 , 则 可 以 通过 替换 网 线 排除 物理 链 路 
故障 ,一 般 采 用 5 类 及 5 类 以 上 双 绞 线 。 


[H3C-GigabitEthernet1/0/1]loopback internal 
% Apr 26 12:08:44:576 2000 H3C IFNET/3/LINK_ UPDOWN: GigabitEthernet1/0/1 link status 


is Up. 
Loop internal succeeded! 
% Apr 26 12:08:44:754 2000 H3C IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/1 link status is 


Down. 


(7) 查看 两 端 收发 光 功 率 

查看 可 插 拔 接口 模块 的 数字 诊断 参数 的 当前 测量 值 。 

MS: display transceiver diagnosis interface GigabitEthernet inter face-number 

例如 : 查看 G1/1/1 的 收发 光 功 率 , 确 保 在 正常 范围 内 ,接收 到 的 功率 应 在 接收 灵敏 度 与 
过 载 功率 之 间 ,小 于 接收 灵敏 度 接口 不 能 Up, 大 于 过 载 功率 可 能 已 经 造成 模块 损坏 了 。 


[H3C] display transceiver diagnosis interface GigabitEthernet 1/1/1 
GigabitEthernet1/1/1 transceiver diagnostic information: 


Current diagnostic parameters: 
Temp(CC) Voltage(V) Bias(mA) RX power(dBM) TX power(dBM) 
43 3.32 9.57 = 一 5.43 


(8) 光 模块 自 环 测试 

多 模 模 块 或 10km 单 模 模块 ,可 以 直接 自 环 , 用 一 根 尾 纤 将 光 模块 的 Rx 和 Tx 连接 起 来 ， 
确认 接口 是 否 可 以 Up, 如 果 可 以 Up, 说 明 本 端 光 模块 没有 问题 ; 否则 ,可 能 光 模 块 有 故障 。 

WAA: 

O 10km 以 上 的 光 模 块 不 能 直接 自 环 ,必须 加 光 衰 减 器 ,必须 保证 接收 光 功 率 在 正常 范 
围 内 ; 

@ 为 避免 该 测试 造成 网 络 环 路 , 需 预 先 将 端口 加 入 非 业 务 VLAN。 

(9) 检查 光纤 替换 模块 

检查 光纤 连接 ,通过 替换 光纤 、 模 块 排除 物理 链 路 故障 。 

命令 : display transceiver interface GigabitEthernet inter face-number 

例如 : 通过 命令 分 别 显示 G1/1/1 接口 模块 的 主要 特征 参数 。 分 别 表示 模块 类 型 .连接 器 
类 型 中心 波长 .传输 距离 ,数字 诊断 功能 .厂商 名 称 、 模 块 名 称 。 确 认 选 择 适 配 的 电缆 、 模 块 及 


光纤 。 


[H3C]display transceiver interface GigabitEthernet 1/1/1 
GigabitEthernet1/1/1 transceiver information: 
Transceiver Type : 1000_BASE_SX_SFP 


Connector Type HEG 

Wavelength(nm) : 850 

Transfer Distance(m) : 550(50um) ,270(62.5um) 
Digital Diagnostic Monitoring : YES 

Vendor Name :H3C 


Ordering Name :SFP-GE-SX-MM850 


于 7 = 3.1.2 以 太 网 链 路 聚合 
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anan Wima AN 21.2 以 大 网 幼 路 到 
03 交换 技术 Y 3.1 以 太 网 二 层 技术 A asss > emas Ó 


1. 开始 

链 路 聚合 定位 故障 的 思路 是 : 先 查 聚 合 端口 状态 .聚合 正常 查看 负载 是 否 均衡 ,聚合 异常 
先 排查 物理 链 路 及 成 员 端口 数 是 否 超 规格 ,再 根据 聚合 类 型 检查 本 端 配置 及 对 端 配 置 ,动态 聚 
合 可 以 检查 端口 LACP 报 文 收发 数量 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 聚合 端口 状态 

查看 链 路 聚合 组 状态 。 


命令 : display link-aggregation summary 


display link-aggregation verbose 
例如 : 通过 命令 确认 二 层 链 路 聚合 组 BAGGI 选中 端口 为 2 个 。 成 员 端口 分 别 为 GE1/ 
0/1.GE1/0/2, 


<H3C>display link-aggregation summary 

Aggregation Interface Type: 

BAGG -- Bridge-Aggregation, RAGG -- Route-Aggregation 
Aggregation Mode: SŠ -- Static, D -- Dynamic 

Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing 
Actor System ID: 0x8000, 0023-893b-7085 


AGG AGG Partner ID Select Unselect Share 
Interface Mode Ports Ports Type 
BAGGI s none 2 0 Shar 
BAGG2 D 0x8000, 0023-896a-208a 2 0 Shar 


[H3C]display link-aggregation verbose 


Aggregation Interface: Bridge-Aggregation1 
Aggregation Mode: Static 
Loadsharing Type: Shar 


Port Status Priority Oper-Key 
GF1/0/1 S 32768 1 
GF1/0/2 S 32768 1 


(2) 检查 成 员 端口 Outbound 流量 

检查 本 端 负 载 是 否 均衡 , 需 检 查 本 端 聚合 组 内 成 员 端口 的 出 方向 流量 或 对 端 和 方向 流量 。 

命令 : display interface GigabitEthernet inter face-number 

例如 : 通过 命令 显示 聚合 组 成 员 端 口 G1/0/1 的 出 方向 流量 ,与 G1/0/2 进行 比较 确认 负 
载 是 否 均衡 。 
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[H3C] display interface GigabitEthernet 1/0/1 


Last 300 seconds input: 0 packets/sec 38 bytes/sec 0% 
Last 300 seconds output: 0 packets/sec 41 bytes/sec 0% 
Input (total): 49 packets, 11629 bytes 

5 unicasts, 25 broadcasts, 19 multicasts, 0 pauses 
Input (normal): 49 packets, - bytes 

5 unicasts, 25 broadcasts, 19 multicasts, 0 pauses 
Input: 0 input errors, 0 runts, 0 giants, 0 throttles 

0 CRC, 0 frame, - overruns, 0 aborts 

- ignored, - parity errors 
Output (total): 53 packets, 12536 bytes 

7 unicasts, 12 broadcasts, 34 multicasts, 0 pauses 

Output (normal): 53 packets, - bytes 

7 unicasts, 12 broadcasts, 34 multicasts, 0 pauses 
Output: 0 output errors, - underruns, - buffer failures 

0 aborts, 0 deferred, 0 collisions, 0 late collisions 

0 lost carrier, - no carrier 


(3) 调整 负载 分 担 类 型 
检查 全 局 采用 的 聚合 负载 分 担 类 型 ,可 以 通过 如 下 命令 查看 。 配 置 聚合 负载 分 担 类 型 时 


有 可 能 出 现 丢 包 现象 ,尽量 在 无 业务 时 调整 。 


命令 : display link-aggregation load-sharing mode 


例如 : 通过 命令 确认 二 层 报 文 根 据 源 /目的 MAC 地 址 及 报 文人 端口 进行 聚合 负载 分 担 ， 


三 层 报 文 根 据 源 /目的 IP 地 址 进行 聚合 负载 分 担 。 在 系统 视图 下 进行 全 局 聚合 负载 分 担 类 型 
配置 ,根据 报 文 类 型 、 源 IP、 目 的 IP、 源 MAC. 目 的 MAC、 源 端口 、 目 的 端口 等 不 同 的 组 合 进行 


聚合 负载 分 担 。 


[H3C] display link-aggregation load-sharing mode 
Link-AggregationLoad-Sharing Mode: 


Layer 2 traffic: ingress-port, destination-mac address, 
source-mac address 
Layer 3 traffic: destination-ip address, source-ip address 


(4) 查看 成 员 端口 物理 状态 
查看 物理 端口 状态 ,确认 端口 是 否 Up。 
命令 :; display interface GigabitEthernet inter face-number 


例如 : 通过 命令 确认 物理 端口 是 否 Up。 


<H3C>display interface GigabitEthernet 1/0/1 
GigabitEthernet1/0/1 current state: Up 


(5) 检查 物理 链 路 
当 端口 物理 状态 不 Up 时 ,根据 端口 类 型 查 自 协 商 、 光 功率 ,替换 端口 、 网 线 、 光 纤 模 块 。 


参考 以 太 网 口 故 障 排查 。 


(6) 检查 成 员 端 口 数量 
检查 链 路 聚合 组 成 员 端 口 数量 ,可 通过 端口 蔡 换 操作 排查 可 聚合 端口 数目 是 否 超 限 制 。 


fü > display link-aggregation summary 
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例如 : 查看 BAGG3 选中 端口 数 为 8, 未 选中 端口 为 1。 断 开 任 一 选中 端口 ,未 选中 端口 即 
变 为 选中 状态 ,避免 业务 运行 时 调整 成 员 端 口 数量 。 


< H3C>-4isplay link-aggregation summary 

Aggregation Interface Type: 

BAGG -- Bridge- Aggregation, RAGG -- Route-Aggregation 
Aggregation Mode:S -- Static, D -- Dynamic 

Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing 
Actor System ID: 0x8000, 0023-893b-7085 


AGG AGG Partner ID Select Unselect Share 
Interface Mode Ports Ports Type 
BAGG3 S none 8 1 Shar 


(7) 查看 是 否 动态 聚合 
查看 链 路 聚合 组 类 型 。 
MẸ: display link-aggregation summary 


例如 : 通过 命令 查看 二 层 链 路 聚合 组 BAGG1 为 静态 聚合 ,BAGG2 为 动态 聚合 。 


< H3C>-4isplay link-aggregation summary 

Aggregation Interface Type: 

BAGG -- Bridge-Aggregation, RAGG -- Route-Aggregation 
Aggregation Mode: S -- Static, D -- Dynamic 

Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing 
Actor System ID: 0x8000, 0023-893b-7085 


AGG AGG Partner ID Select Unselect Share 
Interface Mode Ports Ports Type 
BAGG1 s none 2 0 Shar 
BAGG2 p 0x8000, 0023-896a-208a 2 0 Shar 


(8) 检查 本 端 及 对 端 成 员 端口 配置 
检查 本 端 物 理 接口 与 对 端 物 理 口 配置 是 否 一 致 ,检查 物理 口 与 逻辑 口 配置 是 否 一 致 
MA: display current-con figuration inter face inter face-number 


例如 : 通过 命令 确认 本 端 选中 端口 g1/0/3 和 g1/0/4 配置 一 致 ,并 与 对 端 保持 一 致 。 


[H3C] display current-configuration interface g1/0/3 
# 
interface GigabitEthernet1/0/3 
port link-mode bridge 
port link-aggregationgroup 2 
# 
return 
[H3C]display current-configuration interface g1/0/4 
# 
interface GigabitEthernet1/0/4 
port link-mode bridge 
port link-aggregation group 2 
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(9) 检查 端口 收发 LACP 数量 

检查 本 端口 和 对 端 端口 LACP 报 文 收发 数量 。 

MA: display link-aggregation member-port 

例如 : 通过 命令 显示 检查 聚合 成 员 端口 LACP 数量 是 否 增 长 。 通 过 reset lacp statistics 
清除 所 有 成 员 端口 上 的 LACP 统计 信息 。 


[H3C] display link-aggregation member-port 

Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation, 
D -- Synchronization, E -- Collecting, F -- Distributing, 
G -- Defaulted, H -- Expired 

GigabitEthernet1/0/3: 

Aggregation Interface: Bridge-Aggregation2 


Received LACP Packets: 18 packet(s) 
Illegal: 0 packet(s) 
Sent LACP Packets:41 packet(s) 


GigabitEthernet1/0/4: 
Aggregation Interface: Bridge-Aggregation2 


Received LACP Packets: 17 packet(s) 
Illegal: 0 packet(s) 
Sent LACP Packets:43 packet(s) 


(10) 检查 本 端 成 员 端口 配置 
静态 聚合 时 ,务必 保证 各 物理 端口 配置 一 致 , 且 物 理 端口 与 聚合 逻辑 口 配置 一 致 。 
MS: display current-con figuration inter face inter face-type inter face-number 


例如 : 通过 命令 显示 检查 链 路 聚合 组 逻辑 口 和 聚合 组 的 配置 ,确认 保持 一 致 。 


<H3C>display current-configuration interface Bridge-Aggregation 1 
# 
interface Bridge- Aggregation1 
# 
return 
<H3C>display current-configuration interface GigabitEthernet 1/0/1 
# 
interface GigabitEthernet1/0/1 
port link-mode bridge 
port link-aggregation group 1 
# 
<H3C>display current-configuration interface GigabitEthernet 1/0/2 
# 
interface GigabitEthernet1/0/2 
port link-mode bridge 
port link-aggregation group 1 
# 
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3 交换 技术 3.1 以 太 网 二 层 技术 3.1.3 QinO 故障 排查 > emas Ó 


1. 开始 


定位 故障 的 思路 是 : 如 果 是 了 设备 ,确保 接口 允许 外 层 TAG 通过 。 如 果 是 PE 设备 , 首 
先 检 查 接口 类 型 是 否 符合 要 求 ,再 检查 设备 是 否 满足 QinQ 部 署 要 求 ,最 后 检查 设备 硬件 资源 
是 否 足 够 。 

2. QinQ 排 错 相关 操作 说 明 

(1) 查看 是 否 为 PE 设备 

QinQ 网 络 部 署 分 为 P 设 备 和 PE 设备 ,请 根据 设备 部 署 类 型 ,选择 对 应 的 排查 方向 。 

(2) 接口 允许 外 层 TAG 通过 

命令 : display inter face GigabitEthernet inter face-number 


例如 : 通过 命令 查看 ,GE2/0/10 接口 允许 外 层 Tag 100 通过 。 


<H3C>display interface GigabitEthernet 2/0/10 


PVID: 1 
Mdi type: auto 
Port link-type: trunk 
VLAN passing : l(default vlan) 
VLAN permitted: 1(default vlan), 100, 200 
Trunk port encapsulation: IEEE 802. 1q 


(3) 检查 与 P 设 备 互 联接 口 配置 正确 
O 检查 与 P 设备 互联 接口 允许 外 层 Tag 通过 。 
命令 : display interface GigabitEthernet inter face-number 


例如 : 通过 命令 查看 ,GE2/0/10 接口 是 否 允 许 外 层 Tag 100 通过 。 


< H3C>4display interface GigabitEthernet 2/0/10 


PVID: 1 
Mdi type: auto 
Port link-type: trunk 
VLAN passing : 1(default vlan) 
VLAN permitted: 1(default vlan), 100, 200 
Trunk port encapsulation: IEEE 802. 1q 


@ 检查 与 P 设备 互联 接口 TPID 值 配 置 正 确 。 两 端 设备 交互 报 文 中 , 若 TPID 不 一 致 , 报 
文 将 无 法 互通 。 默 认 H3C 设备 为 8100。 


例如 : 检查 与 P 设备 互 联 端口 2/0/10 VLAN Tag 的 TPID 值 是 否 匹 配 。 
说 明 : Qos 方式 在 接口 模式 下 修改 TPID, 不 同 接口 TPID 可 不 同 ; 基于 端口 方式 在 配置 
模式 下 修改 TPID, 整 机 TPID 保持 一 致 。 
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Qos FR: 

[H3C-GigabitEthernet2/0/10] display this 
# 

interface GigabitEthernet2/0/10 

port link-mode bridge 

port link-type trunk 

port trunk permit vlan 1 100 200 


qinq ethernet-type service-tag 8200 
# 


基于 端口 方式 : 
[H3C] display this 


[H3C] qinq ethernet-type service-tag 8300 


(4) 检查 与 CE 互联 接口 ,没有 部 署 RRPP 或 1:1VLAN MAPPING 

QinQ 端口 不 使 能 RRPP 功能 和 1 : 1 VLAN Mapping 功能 。 

(5) 检查 与 CE 互联 接口 为 Hybrid 模式 

查看 设备 接口 类 型 为 Hybrid 模式 ,允许 相应 Tag 通过 。 

MS: display port hybrid 

例如 : 通过 命令 查看 ,确认 设备 与 CE 互联 GE2/0/1 端口 模式 为 Hybrid, 且 人 允许 用 户 
VLAN10 报 文 被 封装 为 VLAN 100 后 在 网 络 中 传递 。 


Qos 方式 : 

<H3C>display port hybrid 

Interface PVID VLAN passing 

GE2/0/1 $ Tagged: none 
Untagged:1, 100, 

基于 端口 方式 : 

<H3C>display port hybrid 

Interface PVID VLAN passing 

GE2/0/1 1 Tagged: 10, 
Untagged:100, 


(6) 检查 与 CE 互联 接口 VLAN 透 传 配置 正确 

检查 需要 进行 QinQ 封装 的 用 户 VLAN 不 在 透 传 范围 内 。 

例如 : 查看 GE2/0/1 接口 配置 ,VLAN90 至 VLAN99 为 需要 透 传 的 VLAN, Qing 用 户 
VLAN10 封装 外 层 Tag 不 在 透 传 范围 内 ,命令 为 display current-configuration interface 


GigabitEthernet inter face-number 


<H3C>display current-configuration interface GigabitEthernet 2/0/1 
# 
interface GigabitEthernet2/0/1 
port link-mode bridge 
port link-type hybrid 
port hybrid vlan 1 100 untagged 
qinq enable 
qinq transparent-vlan 90 to 99 
qos apply policy qinq inbound 
# 
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(7) 查看 是 否 为 Qos 方式 部 署 

与 CE 互联 的 接口 部 团 QinQ 时 ,有 两 种 方式 。 一 种 为 Qos 方式 部 署 ; 另 一 种 为 基于 端口 
方式 部 署 。 请 根据 不 同 部 署 方式 ,选择 对 应 的 排查 方向 。 

(8) 检查 接口 基于 端口 方式 配置 正确 

命令 : display current-con figuration interface GigabitEthernet inter face-number 


例如 : 确认 在 设备 GE2/0/1 接口 将 VLAN10 报 文 封装 为 LAN100。 


<H3C>display current-configuration interface GigabitEthernet 2/0/1 
# 
interface GigabitEthernet2/0/1 
port link-mode bridge 
port link-type hybrid 
undo port hybrid vlan 1 
port hybrid vlan 10 tagged 
port hybrid vlan 100 untagged 
qinq enable 
qinq vid 100 
raw-vlan-id inbound 10 
# 


如 果 配 置 时 出 现 以 下 报错 ,表示 设备 资源 不 足 , 需 调整 配置 。 

Error: Not enough resource on inter face GigabitEthernet 1/0/10 

(9) 检查 与 CE 互联 接口 允许 正确 Tag 通过 

MA: display current-con figuration interface GigabitEthernet inter face-number 

例如 : 通过 命令 查看 ,确认 设备 GE2/0/1 端口 允许 VLAN10 报 文 带 Tag 通过 ,允许 
VLAN100 报 文 不 带 Tag 通过 。 


<H3C>display current-configuration interface GigabitEthernet 2/0/1 
# 
interface GigabitEthernet2/0/1 
port link-mode bridge 
port link-type hybrid 
undo port hybrid vlan 1 
port hybrid vlan 10 tagged 
port hybrid vlan 100 untagged 
qinq enable 
qinq vid 100 
raw-vlan-id inbound 10 


# 


(10) 检查 Qos 策略 在 接口 人 方向 下 发 
采用 Qos 方式 部 署 QinQ, 需 要 在 用 户 互联 端口 Inbound 方向 下 发 。 
命令 : display qos policy interface GigabitEthernet inter face-number 


例如 : 通过 命令 查看 ,确认 Qos 在 设备 GE2/0/1 端口 Inbound 方向 下 发 。 


<H3C>display qos policy interface GigabitEthernet 2/0/1 
Interface: GigabitEthernet2/0/1 
Direction: Inbound 
Policy: qinq 
Classifier: qinq 
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Operator: AND 

Rule(s) : If-match customer-vlan-id 10 
Behavior: qinq 

Nesting: Nest top-most vlan-id 100 


(11) 检查 需要 匹配 的 数据 流 和 执行 动作 正确 

MA: display qos policy inter face GigabitEthernet inter face-number 

例如 : 通过 命令 查看 设备 GE2/0/1 端口 ,匹配 用 户 VLAN10; 对 匹配 的 VLAN 执行 封装 
外 层 Tag 100 的 动作 。 


<H3C>display qos policy interface GigabitEthernet 2/0/1 
Interface: GigabitEthernet2/0/1 
Direction: Inbound 
Policy: qinq 
Classifier: qinq 
Operator: AND 
Rule(s) :If-match customer-vlan-id 10 
Behavior: qinq 
Nesting: Nest top-most vlan-id 100 


(12) 检查 ACL 存在 剩余 资源 

设备 资源 不 足 将 导致 QinQ 无 法 部 署 。 

使 用 Qos 方式 部 署 时 将 占用 ACL 资源 , 需 检查 ACL 资源 是 否 剩余 。 
MA: display acl resource 


例如 : Qos 方式 部 署 时 ,通过 命令 查看 设备 ACL VFP 资源 剩余 1535 条 资源 。 


< H3C>-4isplay acl resource 
Interface: 


GE1/0/1 to GE1/0/24, XGE1/1/1 to XGE1/1/2 


Type Total Reserved Configured Remaining Usage 
VFP ACL 2048 512 ‘l 1535 25% 
IFP ACL 8192 2048 0 6144 25% 
IFP Meter 4096 1024 0 3072 25% 
IFP Counter 4096 1024 0 3072 25% 
EFP ACL 1024 0 0 1024 0% 
EFP Meter 512 0 0 512 0% 
EFP Counter 512 0 0 512 0% 
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a N 3 一 已 此 二 3.1.4 BPDU Tunnel 
03 交换 技术 3.1 以 太 网 二 层 技术 故障 排查 步骤 详解 


1. 开始 
定位 故障 的 思路 是 : 首先 检查 两 端 CE 设备 均 使 能 了 需要 透 传 的 二 层 协议 ,再 检查 两 端 


PE 设备 配置 的 BPDU Tunnel 报 文 的 组 播 目 的 MAC 地 址 一 致 ,最 后 根据 ISP 网 络 类 型 检查 
相关 配置 是 否 正确 。 


2. BPDU Tunnel 排 错 相 关 操 作 说 明 


(1) 查看 检查 需要 透 传 的 二 层 协 议 报 文 设备 能 够 支持 
H3C 设备 支持 以 下 协议 的 BPDU Tunnel 功能 。 


CDP(Cisco Discovery Protocol, 思科 发 现 协议 ) 

DLDP(Device Link Detection Protocol, 设备 链 路 检测 协议 ) 

EOAM (Ethernet Operation, Administration and Maintenance, 以 太 网 操作 管理 和 维护 ) 
GVRP(GARP VLAN Registration Protocol, GARP VLAN 注册 协议 ) 
HGMP(HW Group Management Protocol, HW 组 管理 协议 ) 
LACP(Link Aggregation Control Protocol, 链 路 聚合 控制 协议 ) 
LLDP(Link Layer Discovery Protocol, 链 路 层 发 现 协议 ) 

PAgP(Port Aggregation Protocol, 端口 聚合 协议 ) 

PVST(Per VLAN Spanning Tree, 每 VLAN 生成 树 ) 

STP( Spanning Tree Protocol, 生成 树 协议 ) 

UDLD(Uni-Directional Link Direction, 单 向 链 路 检测 ) 

VTP(VLAN Trunking Protocol, VLAN 中 继 协 议 ) 


(2) 接 检 查 两 端 CE 设备 均 使 能 需要 透 传 的 二 层 协 议 

两 端 CE 均 需 要 使 能 需要 透 传 的 二 层 协议 ,以 保证 二 层 协 议 报 文 在 传递 后 ,对 端 CE 能 够 
正常 处 理 。 

例如 : 通过 命令 查看 ,两 端 CE 设备 使 能 STP 协议 。 


<CEl> display stp 


Bridge ID : 32768.0cda-41b4-e62c 
Bridge times : Hello 2s MaxAge 20s FwdDelay 15s MaxHops 20 


<CE2> display stp 


Bridge ID : 32768.0cda-414c-e32c 
Bridge times : Hello 2s MaxAge 20s FwdDelay 15s MaxHops 20 


(3) 检查 用 户 网 络 携 有 VLAN Tag 的 报 文 在 ISP 传输 过 程 中 不 被 修改 

通过 抓 包 ,确认 用 户 网 络 协议 报 文中 携带 的 二 层 VLAN Tag 部 分 不 被 修改 。 

(4) 检查 两 端 PE 设备 配置 的 BPDU Tunnel 报 文 的 组 播 目的 MAC 地 址 一 致 

检查 两 端 PE 设备 配置 的 BPDU Tunnel 报 文 的 组 播 目 的 MAC 地 址 一 致 , 且 组 播 目 的 
MAC 地 址 符合 设备 要 求 。 
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命令 : bpdirtunnel tunnel-dmal mac-address 


BPDU Tunnel 报 文 默认 采用 的 组 播 目的 MAC 地 址 为 010F-E200-0003。 
用 户 可 以 根据 需要 将 其 修改 为 0100-0CCD-CDD0、0100-0CCD-CDD1 或 0100-0CCD-CDD2 地 址 。 


在 两 端 PE 上 检查 配置 的 组 播 MAC 地 址 一 致 
[PE1] bpdu-tunnel tunnel-dmac 0100-0ccd-cdd0 
[PE2] bpdu-tunnel tunnel-dmac 0100-0ccd-cdd0 


(5) 查看 ISP 网 络 是 否 部 署 MPLS、VPLS 或 QinQ 


ISP 网 络 有 多 种 部 署 方式 。 一 种 为 MPLS、VPLS 或 QinQ 方式 部 署 ; 另 一 种 为 基本 网 络 
方式 部 署 。 请 根据 不 同 部 署 方式 ,选择 对 应 的 排查 方向 。 


(6) 检查 PE 互联 为 Trunk 口 , 且 允许 所 有 VLAN 通过 

MA: display interface GigabitEthernet interface-number 

例如 : 通过 命令 查看 ,GE1/0/10 PE 互联 接口 为 Trunk 类 型 , 且 允 许 所 有 VLAN 通过 。 
<PEl1> display interface GigabitEthernet 1/0/10 


PVID: 1 
Mdi type: auto 
Port link-type: trunk 
VLAN passing : l(default vlan) 
VLAN permitted: 1(default vlan), 2-4094 
Trunk port encapsulation: IEEE 802. 1q 


(7) 检查 ISP 网 络 MPLS, VPLS 或 QinQ 部 署 正确 
具体 检查 方法 ,请 查阅 相关 协议 故障 排查 方式 。 
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m : 、 Pusu? 3.1.5 Voice VLAN 
03 交换 技术 3.1 以 太 网 二 层 技 术 故障 排查 步骤 详解 


1. 开始 

定位 故障 的 思路 是 : 首先 确保 IP 话机 MAC 地 址 包含 在 交换 机 OUI MAC 地 址 范围 内 ， 
根据 IP 话机 发 送 的 语音 报 文 是 否 携带 Tag 来 检查 相关 配置 信息 ,最 后 查看 端口 是 否 正常 加 
À Voice VLAN, 查 看 IP 话机 MAC 地 址 是 否 学 习 在 正常 的 Voice VLAN 中 。 

2. 流程 图 相关 操作 说 明 

(1) 确保 IP 话机 MAC 地 址 包含 在 交换 机 OUI MAC 地 址 范围 内 

通过 命令 行 可 以 查看 交换 机 上 配置 的 OUI MAC 地 址 范围 。 

命令 : display voice vlan oui 


例如 : 通过 命令 查看 ,可 以 确认 目前 交换 机 上 存在 6 个 段 的 OUI MAC 地 址 范围 。 


< H3C> display voice vlan oui 

Oui Address Mask Description 
0001-e300-0000 ffff-ff00-0000 Siemens phone 
0003-6b00-0000 ffff-ff00-0000 Cisco phone 
0004-0d00-0000 ffff-ff00-0000 Avaya phone 
0011-1100-0000 ffff-ff00-0000 IP phone A 
0011-2200-0000 ffff-ff00-0000 IP phone B 
0060-b900-0000 ffff-ff00-0000 Philips/NEC phone 
00d0-1e00-0000 ffff-ff00-0000 Pingtel phone 
00e0-7500-0000 ffff-ff00-0000 Polycom phone 
00e0-bb00-0000 ffff-ff00-0000 3com phone 


(2) IP 话 机 是 否 发 送 tagged 语音 流 

目前 IP 话机 可 以 发 送 tagged 及 untagged 语音 流 ,IP 话机 一 般 可 以 通过 dhep 获取 或 者 
手工 指定 的 方式 确定 语音 报 文 携带 的 VLAN 号 或 者 语音 报 文 已 untagged 的 方式 发 送 。 
(3) 配置 Voice VLAN 为 手工 模式 

通过 以 下 命令 设置 交换 机 端口 的 工作 模式 为 手工 模式 。 

MA: undo voice olan mode auto 


例如 : 通过 以 下 的 命令 设置 端口 GigabitEthernet1/0/1 工作 在 手动 模式 。 


[H3C] interface gigabitethernet 1/0/1 
[H3C-GigabitEthernet1/0/1] undo voice vlan mode auto 


(4) 配置 端口 默认 VLAN 为 Voice VLAN 且 语 音 VLAN 不 携带 VLAN Tag 
对 于 Acess 类 型 端口 直接 加 入 Voice VLAN 即 可 。 

对 于 Trunk 类 型 的 端口 配置 配置 pvid 为 Voice VLAN. 

对 于 Hybrid 类 型 端口 配置 pvid 为 Voice VLAN 且 Voice VLAN untagged 通过 。 
(5) 是 否 自动 加 语音 VLAN 

通过 以 下 命令 设置 交换 机 端口 的 工作 模式 为 自动 模式 。 

命令 : voice olan mode auto 


例如 : 通过 以 下 的 命令 设置 端口 GigabitEthernet1/0/1 工作 在 自动 模式 。 
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[H3C] interface gigabitethernet 1/0/1 
[H3C-GigabitEthernet1/0/1]voice vlan mode auto 


(6) 确保 端口 允许 默认 VLAN 不 带 标签 通过 ,语音 VLAN 带 标签 通过 

对 于 Acess 类 型 端口 不 支持 IP 话机 发 送 Tagged 类 型 的 语音 报 文 。 

对 于 Trunk 类 型 的 端口 配置 配置 pvid 为 非 Voice VLAN 且 人 允许 pvid VLAN 通过 ,配置 
语音 VLAN 通过 。 

对 于 Hybrid 类 型 端口 配置 pvid 为 非 Voice VLAN 且 人 允许 pvid VLAN untagged 通过 。 
配置 Voice VLAN tagged 通过 。 

(7) 确保 端口 允许 默认 VLAN 通过 

对 于 Acess 类 型 端口 不 支持 IP 话机 发 送 Tagged 类 型 的 语音 报 文 。 

对 于 Trunk 类 型 的 端口 配置 配置 pvid 为 非 Voice VLAN 且 人 允许 pvid VLAN 通过 。 

对 于 Hybrid 类 型 端口 配置 pvid 为 非 Voice VLAN 且 人 允许 pvid VLAN untagged 通过 。 

(8) 查看 端口 是 否 正常 加 入 Voice VLAN 

自动 模式 情况 下 端口 会 自动 加 入 语音 Voice VLAN, 可 以 通过 命令 行 查看 端口 下 是 否 允 
许 了 语音 VLAN 通过 。 

MA: display inter face interface-type interface-number 


通过 以 下 命令 可 以 看 到 端口 5/0/3 端口 允许 了 2,3,101 这 三 个 VLAN 通过 。 


<H3C> display interface GigabitEthernet5/0/3 
GigabitEthernet5/0/3 current state: Up 
IP Packet Frame Type: PKTFMT_ETHNT 2, Hardware Address: 0023-8928-fldd 
Description: %* connect to LC-Sw-H3652 
Loopback is not set 
Media type is optical fiber, Port hardware type is 1000_BASE_SX_SFP 
1000Mbps-speed mode, full-duplex mode 
Link speed type is autonegotiation, link duplex type is autonegotiation 
Flow-control is not enabled 
The Maximum Frame Length is 9216 
Broadcast MAX-ratio: 100% 
Unicast MAX-ratio: 100% 
Multicast MAX-ratio: 100% 
Allow jumbo frame to pass 
PVID: 1 
Mdi type: auto 
Link delay is 0(sec) 
Port link-type: trunk 
VLAN passing : 2-3, 101 
VLAN permitted: 2-4094 
Trunk port encapsulation: IEEE 802. 1q 
Port priority: 0 
Last clearing of counters: Never 
Peak value of input: 6 bytes/sec, at 2014-01-04 16:13:01 
Peak value of output: 3473 bytes/sec, at 2014-01-09 00:37:00 


(9) 确保 交换 机 上 IP 话机 的 MAC 地 址 正常 学 习 到 Voice VLAN 中 
通过 下 面 命令 可 以 查看 MAC 地 址 学 习 情 况 。 
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MS: display mac-address mac-address-number 


例如 : 通过 下 面 的 命令 可 以 看 到 000f-e201-0101 这 个 MAC 地 址 在 VLAN 中 。 


# 显 示 MAC 地 址 表 中 MAC 地 址 为 000f-e201-0101 的 表 项 的 信息 。 


=Sysname> display mac-address 000f-e201-0101 
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 
000f-e201-0101 1 Learned Ethernet1/0/1 AGING 


--- 1 mac address(es) found - 
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1. 开始 


定位 故障 的 思路 是 : 以 802. 1x 认证 流程 为 基本 方向 。 排 查 设 备 的 基本 配置 后 ,关于 
URL 跳 转 部 分 , 先 查看 终端 是 否 可 以 正常 跳 转 至 URL, 然 后 确保 URL 包含 在 Free-IP 中 , 确 
保 终 端 与 URL 主机 间 的 连通 性 正常 。 关 于 认证 部 分 ,首先 确保 设备 上 802. 1x 认证 方式 正 
确 , 然 后 查看 设备 侧 是 否 手 工 配 置 Radius Server 下 发 的 相关 属性 ,最 后 查看 客户 端 、Radius 
Server 上 记录 的 认证 失败 原因 及 查看 设备 的 相关 Log。 
2. 流程 图 相关 操作 说 明 
(1) 检查 802. 1x.AAA.Domain 的 配置 
检查 802. 1x、AAA、Domain 等 配置 ,各 部 分 注意 事项 如 下 。 
(O 802. 1x 部 分 。 在 全 局 配置 及 接口 下 使 能 802. 1x 认证 。 
例如 : 通过 当前 配置 可 确认 在 全 局 及 接口 GigabitEthernet1/0/1 下 使 能 了 802. 1x。 
# 
dotlx 
# 
interface GigabitEthernet1/0/1 
port link-mode bridge 


dotlx 
# 


®© AAA 部 分 。 配 置 Radius Scheme 认证 方案 ,指定 认证 、. 计 费 服务 器 。 配 置 Nas-Ip 
且 保 证 Nas-Ip 到 认证 、 计 费 服务 器 可 达 。 同 时 保证 User-Name-Format 和 Server-Type 与 
Radius Server 匹配 。 

例如 : 通过 当前 配置 可 知 Radius Scheme 的 Server-Type 为 Extended, User-Name- 
Format 为 Without-Domain。 认 证 计 费 Server 都 为 1.1.1.1。 


# 

radius scheme h3c 
Server-type extended 
primary authentication 1.1.1.1 
primary accounting 1.1.1.1 
key authentication cipher $ c $ 3 $ hmc/dsendG8XM8FKqsWbR7wjO0vF4A== 
key accounting cipher $ c $ 3 $ PXWZGL74464iZDVzdWnSnL2yJrv/uAa== 
user-name-format without-domain 


# 


@ Domain 部 分 。 在 Domain 视图 下 引用 相应 的 Radius Scheme 方案 ,认证 授权 方案 必须 
同时 指定 。 
例如 : 通过 当前 配置 可 知 ,Domain 下 引用 的 Radius Scheme 方案 为 H3C。 


# 


domain h3c 
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authentication lan-access radius-scheme h3c 
authorization lan-access radius-scheme h3c 
accounting lan-access radius-scheme h3c 
access-limit disable 

state active 

idle-cut disable 

self-service-url disable 


# 


(2) URL 跳 转 是 否 成 功 

在 浏览 器 中 访问 任意 网 站 ,设备 都 会 将 其 重 定向 至 URL 页 面 。 

(3) 确保 URL 地 址 包含 在 Free-IP 中 

在 终端 认证 成 功 之 前 仅 有 Free-Ip 中 的 地 址 才 允 许 访问 ,因此 需 确保 URL 地 址 包含 在 
Free-Ip 中 。 

MS: display dot. 1x 

例如 : 通过 命令 查看 ,可 以 确认 URL 地 址 6. 6. 6. 6 包含 在 Free-Ip 6. 6. 6. 0/24 范围 内 。 

<H3C>display dot. 1x 

Equipment 802. 1x protocol is enabled 


CHAP authentication is enabled 
EAD quick deploy is enabled 


Configuration: Transmit Period 30 s, Handshake Period 15 s 
Quiet Period 60 s, Quiet Period Timer is disabled 
Supp Timeout 30 s, Server Timeout 100 s 
Reauth Period 3600 s 
The maximal retransmitting times 2 


EAD quick deploy configuration: 
URL: http://6.6.6.6:8080/ead 
Free IP: 6.6.6.0 255.255.255.0 
EAD timeout: 30m 


(4) 确保 终端 DNS 解析 正常 .终端 与 URL 间 路 由 正常 

只 有 终端 DNS 解析 正常 ,终端 与 URL 间 路 由 正常 ,URL 跳 转 才 可 以 正常 进行 。 
(5) 认证 是 否 成 功 

查看 终端 上 返回 的 认证 结果 可 以 确认 本 次 认证 是 否 成 功 。 

(6) 查看 设备 上 在 线 用 户 及 Server 下 发 的 属性 

通过 下 面 的 命令 可 以 查看 设备 上 的 在 线 用 户 。 

命令 : display connection 


例如 : 通过 命令 查看 ,可 以 确认 此 时 设备 上 存在 H3C 用 户 在 线 , 且 其 index 为 1 。 


<H3C>display connection 

Slot: 1 

Index=1 , Username=h3c@system 
IP=N/A 
IPv6=N/A 
MAC=60eb-6926-aca4 
Total 1 connection(s) matched on slot 1. 
Total 1 connection(s) matched. 
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通过 下 面 的 命令 可 以 进一步 确认 特定 用 户 的 具体 属性 。 
命令 : display connection ucibindex index 


例如 : 通过 命令 查看 ,可 以 确认 Server 向 h3c 用 户 下 发 了 VLAN 10,ACL 3000。 


<H3C>display connection ucibindex 1 

Slot: 1 

Index=1 , Username=h3c@system 

MAC= 60eb-6926-aca4 

IP=N/A 

IPv6=N/A 

Access=802.1x ,AuthMethod=CHAP 

Port Type= Ethernet, Port Name= GigabitEthernet1/0/24 
Initial VLAN=1, Authorization VLAN= 10 

ACL Group=3000 

User Profile= N/A 

CAR= Disable 

Priority = Disable 

SessionTimeout=N/A, Terminate-Action=N/A 
Start=2000-05-02 22:01:18 ,Current=2000-05-02 22:01:38 ,Online=00h00m20s 
Total 1 connection matched. 


(7) 确保 设备 侧 认证 方式 与 客户 端 和 Server 匹配 
确保 设备 侧 Authentication-Method 与 客户 端 和 Server 匹配 ,例如 , 赛 门 铁 克 的 客户 端 及 
Server 要 求 设备 的 认证 方法 为 EAP, 
MS: display dot. 1x 
例如 : 通过 命令 查看 ,设备 目前 配置 的 802. 1x 系统 的 认证 方法 为 EAP。 
<H3C>display dotlx 
Equipment 802.1x protocol is enabled 


EAP authentication is enabled 
EAD quick deploy is enabled 


(8) 确保 Server 下 发 属性 在 设备 侧 正常 配置 

设备 支持 Server 向 其 下 发 授权 隔离 VLAN, 若 设备 侧 接收 到 字符 串 形 式 的 VLAN 
Name 时 ,要 求 该 VLAN 必须 是 静态 配置 的 , 若 收 到 整形 的 VLAN ID 时 ,设备 可 以 自动 创建 
该 VLAN。 


命令 : display vlan static 


例如 : 通过 命令 查看 ,设备 上 存在 VLAN 1、VLAN 2 两 个 静态 VLAN., 


<H3C>display vlan static 
Total 5 static VLAN exist(s). 
The following static VLANs exist: 
1(default), 2, 


MS: display vlan vlanid 


例如 : 通过 命令 查看 ,VLAN 3 的 Name 为 OA。 


<H3C>display vlan 3 
VLAN ID: 3 
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VLAN Type: static 

Route Interface: configured 
Description: VLAN 0003 
Name:OA 

Tagged Ports: none 
Untagged Ports: none 


设备 支持 Server 向 其 下 发 ACL。 向 设备 下 发 ACL 时 ,设备 上 必须 提前 手工 配置 
该 ACL。 

命令 : display acl all 

例如 : 通过 命令 查看 ,设备 上 存在 ACL 3000, 


< H3C>4isplay acl all 

Advanced ACL3000, named -none-, 2 rules, 
Geli acl 
ACL's 


step is 5 
rule 0 permit ip destination 1.1.1.0 0.0.0.255 
rule 5 deny ip 


(9) 查看 客户 端 \Server 记录 的 下 线 原因 

根据 客户 端 及 Server 上 常见 的 下 线 原因 初步 判断 故障 点 。 

例如 ,下 线 原因 为 User Request, 表 示 用 户主 动 下 线 。 如 启用 策略 服务 器 的 情况 下 , 若 
iNode 客户 端 与 策略 服务 器 通信 的 端口 (UDP 9019) 不 通 ,iNode 会 给 出 类 似 “ 未 收 到 服务 器 回 
应 ,即将 强行 下 线 ” 的 提示 。 

例如 ,图 3-1 是 iNode 客户 端 与 策略 服务 器 通信 的 端口 不 通 导致 的 下 线 。 


认证 信息 

2013-07-03 09:29:58 开始 进行 身份 验证 . . . [cfx0696] 

2013-07-03 09:29:59 正在 上 传 用 户 密码 

2013-07-03 09:30:00 您 的 身份 验证 成 功 

2013-07-03 09:30:22 未 收 到 服务 器 回应 ， 即 将 强行 下 线 ， 请 检查 终 油 能 否 正常 访问 由 络 或 者 与 管理 员 联 系 
2013-07-03 09:30:26 用 户 已 下 线 。 


wres | =a] 


图 3-1 下 线 通 知 


(10) 查看 认证 过 程 中 设备 上 的 Log 日 志 
用 户 认 证 失败 时 ,设备 上 一 般 都 会 有 相关 的 Log 打印 。 
例如 : 向 设备 下 发 ACL 时 ,设备 上 不 存在 该 ACL。 


% Apr 26 13: 44: 47: 017 2000 H3C 802. 1x/5/DOT1X _ SOP _ ACL _ FAILURE: -IName = 
GigabitEthernetl/0/2-UserName= 123@h3c; The specified ACL does not exist. 


* 
Portal 认证 故障 排查 


* 


* 


# 看 AAA Server aR BS, 
为 Actve 


查看 设备 Ac 
资源 使 用 情况 
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1. 开始 

定位 故障 的 思路 是 : 以 Portal 认证 流程 为 排查 方向 , 先 确保 终端 正常 获取 IP 地 址 及 DNS 
解析 正常 ,然后 查看 终端 Web 页 面 是 否 可 以 重 定向 成 功 , 再 查看 设备 侧 Portal, Portal Server 
相关 状态 是 否 正常 ,最 后 查看 客户 端 \Server 上 记录 的 下 线 原因 及 设备 上 的 相关 Log。 

2. 流程 图 相关 操作 说 明 

(1) 检查 Portal, AAA 、Domain 等 配置 

检查 Portal, AAA .Domain 等 配置 ,各 部 分 注意 事项 如 下 。 

O Portal 部 分 。 在 全 局 配置 Portal Server 且 在 三 层 接口 下 使 能 Portal 认证 。 

例如 : 通过 当前 配置 可 确认 在 全 局 配置 的 Portal Server 为 6.6.6.6 且 在 VLAN 2 中 使 能 
了 Portal 认证 。 


# 
portal server h3c ip 6.6.6.6 key cipher $ c $ 3 $ t9t3GVbZEGTHeMLSVI41bB6l1 fj4wQ== url http: //| 
6.6.6.6/portal 
# 
interface Vlan-interface2 
ip address 1.1.1.1 255.255.255.0 
portal server h3c method direct 
# 


© AAA 部 分 。 配 置 Radius Scheme 认证 方案 ,指定 认证 、 计 费 服务 器 。 配 置 Nas-Ip H. 
保证 Nas-Ip 到 认证 、 计 费 服 务 器 可 达 。 同 时 保证 User-Name-Format 和 Server-Type 与 
Radius Server 匹配 。 

例如 : 通过 当前 配置 可 知 Radius Scheme 的 Server-Type 为 Extended. User-Name- 
Format 为 Without-Domain。 认 证 计 费 Server 都 为 1.1.1.1。 


# 

radius scheme h3c 
Server-type extended 
primary authentication 1.1.1.1 
primary accounting 1.1.1.1 
key authentication cipher $ c $ 3 $ hmc/dsendG8XM8FKqsWbR7wjO0vF4A== 
key accounting cipher $ c $ 3 $ PXWZGLZ74464iZDVzdWnSnL2yJrvy/uA== 
user-name-format without-domain 


# 


@ Domain 部 分 。 在 Domain 视图 下 引用 相应 的 Radius Scheme 方案 ,认证 授权 方案 必须 
同时 指定 。 

例如 : 通过 当前 配置 可 知 ,Domain 下 引用 的 Radius Scheme 方案 为 h3c。 
# 


domain h3c 
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authentication lan-access radius-scheme h3c 
authorization lan-access radius-scheme h3c 
accounting lan-access radius-scheme h3c 
access-limit disable 
state active 
idle-cut disable 
self-service-url disable 


# 


(2) 确保 终端 正常 获取 IP 地 址 且 DNS 解析 成 功 

Portal 根据 终端 发 送 的 HTTP 报 文 来 进行 重 定向 ,必须 确保 终端 在 认证 前 通过 HHCP 
或 者 静态 配置 的 方式 获取 到 正确 的 IP 地 址 且 DNS 解析 成 功 ,这 样 浏览 器 才 可 以 正常 发 送 
HTTP 报 文 。 

(3) 推送 认证 页 面 是 否 成 功 

在 浏览 器 中 访问 任意 网 站 ,设备 都 会 将 其 重 定向 至 认证 页 面 。 

(4) Portal 状态 是 否 为 Running 

正常 情况 下 Portal 的 运行 状态 为 Running。 

MS: display portal interface Vlan-inter face vlan_id 


例如 : 通过 命令 查看 ,可 以 确认 Vlan 1 接口 下 的 Portal 功能 是 正常 运行 的 。 


<H3C>display portal interface Vlan-interface 1 
Interface portal configuration: 
Vlan-interfacel : Portal running 
Portal server: imc 
Portal backup-group: None 
Authentication type: Direct 
Authentication domain: 
Authentication network: 
address : 0.0.0.0 mask : 0.0.0.0 


(5) 查看 设备 ACL 资源 使 用 情况 

查看 设备 是 否 有 充足 的 ACL 资源 (IFP ACL)。 如 果 设 备 ACL 资源 不 足 会 导致 在 接口 下 
使 能 Portal 时 提示 Portal 已 经 Enable 但 没有 Running。 

MS: display acl resource 


例如 : 通过 命令 查看 ,可 以 确认 目前 设备 上 ACL 剩余 : 2816 条 。 


<H3C>display acl resource 
Interface: 
GE0/0/1 to GE0/0/28 


Type Total Reserved Configured 
VFP ACL 1024 0 0 
IFP ACL 4096 1024 256 
IFP Meter 2048 512 0 
IFP Counter 2048 512 0 
EFP ACL 512 0 0 
EFP Meter 256 0 0 
0 


EFP Counter 512 0 
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(6) Portal Server 状态 是 否 正 常 

正常 情况 下 Portal Server 的 状态 应 该 为 Up 或 N/A。 

设备 上 Portal Server 如 果 是 处 于 Down 状态 ,此 时 对 HTTP 报 文 不 会 进行 重 定向 操作 。 
MS: display portal server servername 


例如 : 通过 命令 查看 ,可 以 确认 Portal Server 处 于 正常 的 Up 状态 。 


<H3C>display portal server imc 
Portal server: 
0)imc: 

IP : 192.168.1.254 
VPN instance : Not configured 
Port : 50100 
Key : h3c 
URL : http: //192.168.1.254/portal 
Status : Up 


(7) 查看 设备 与 Portal Server 间 路 由 ,确保 Portal Server 使 能 逃生 心跳 

设备 上 Portal Server 如 果 是 处 于 Down 状态 ,说 明 Portal 设备 无 法 收 到 Portal Server 的 
心跳 报 文 ,需要 排查 设备 与 Portal Server 间 路 由 且 确 保 Portal Server 使 能 逃生 心跳 且 确 保 设 
备 上 配置 的 逃生 心跳 时 间 间 隔 应 大 于 IMC 上 配置 的 时 间 间 隔 。 

例如 ,从 图 3-2 可 知 Portal Server 上 使 能 了 逃生 及 用 户 心跳 ,时 间 分 别 为 20 秒 。 


[oa sP 
p NI72.16.100 122porl “ 
Potai 7 


3-2 Portal Server 使 能 逃生 心跳 


(8) 确保 终端 与 Portal Server 之 间 的 联通 性 

设备 将 页 面 重 定向 到 Portal Server 的 页 面 后 ,后 期 终端 与 Portal Server 之 间 交 互 的 
HTTP 报 文 在 设备 是 透明 传输 的 。 因 此 终端 重 定 向 成 功 的 前 提 条 件 是 必须 保证 终端 与 Portal 
Server 之 间 的 联通 性 。 

(9) 查看 AAA Server 状态 为 Active 

确保 AAA Server 服务 器 的 状态 是 Active 的 。 

命令 : display radius scheme scheme-name 

例如 : 通过 命令 查看 ,可 以 确认 Scheme 方案 中 的 主 认 证 及 计 费 服务 器 处 于 Active 状态 。 


<=H3C> display radius scheme imc 
SchemeName : imc 


Index : 0 Type : standard 
Primary Auth Server: 
IP: 192.168.1.254 Port: 1812 State: active 


Encryption Key : imc 
VPN instance : N/A 
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Primary Acct Server: 
IP: 192.168.1.254 Port: 1813 State: active 
Encryption Key : imc 
VPN instance : N/A 


(10) 查看 客户 端 \Server 上 记录 的 下 线 原因 
根据 客户 端 及 Server 上 常见 的 下 线 原因 初步 判断 故障 点 。 
例如 ,下 线 原因 为 User Request, 表 示 用 户主 动 下 线 。 如 启用 策略 服务 器 的 情况 下 E 
iNode 客户 端 与 策略 服务 器 通信 的 端口 (Udp 9019) 不 通 ,iNode 会 给 出 类 似 * 未 收 到 服务 器 回 
应 ,即将 强行 下 线 ” 的 提示 。 
例如 ,图 3-3 是 iNode 客户 端 与 策略 服务 器 通信 的 端口 不 通 导 致 的 下 线 。 
认证 信息 
2013-07-03 09:29:58 开始 进行 身份 验证 . . ， [efv0696] 
2013-07-03 09:29:59 正在 上 传 用 户 密码 ,.- 
2013-07-03 09:30:00 您 的 身份 验证 成 功 


2013-07-03 09:30:22 未 收 到 服务 器 回应 ， 即 将 强行 下 线 ， 请 检查 终 庙 能 否 正常 访问 了 给 或 者 与 管理 员 联 系 
2013-07-03 09:30:26 用 户 已 下 线 。 


umaa |= | 


图 3-3 下 线 通 知 
(11) 查看 认证 过 程 中 设备 上 打印 的 Log 
如 果 用 户 认证 失败 会 有 一 些 简单 的 原因 提示 。 
O 下面 的 Log 显示 该 用 户 的 下 线 原因 为 User Request, 一 般 由 客户 端 原 因 导 致 。 


% Apr 11 19:13:11:074 2013 10504 PORTAL/5/PORTAL_USER_LOGOFF: 
-UserName= [yuguanchenghome @ sushe]-IPAddr = [10. 11. 1. 56]-IfName = [Vlan-interfacel10]-| 
VlanID= [110]-MACAddr= [ec88-8f7b-ae87]-Reason= [User Request] ; User logged off. 


@ 下 面 的 Log 显示 该 用 户 的 下 线 原因 为 Admin Reset ,一 般 是 由 于 人 为 操作 强制 用 户 下 
线 的 ,或 者 设备 上 配置 了 在 线 用 户 同步 功能 ,但 是 IMC 上 未 使 能 该 功能 ,导致 设备 收 不 到 相关 
用 户 的 在 线 信息 ,在 一 定 的 时 间 ( 默 认 30 分 钟 左 右 ) 后 设备 强制 该 用 户 下 线 。 


%Apr 9 20:45:50:263 2013 10504 PORTAL/5/PORTAL_USER_LOGOFF: 

-UserName= [YTBTSk1ZZXojHEM1dAspc/AwEUA= YIMINGHOME@ sushe]-IPAddr = [10.11.1. 
156]-IfName= [Vlan-interfacel10]-VlanID= [110]-MACAddr= [f80f-4137-5ed1]-Reason= 

[admin Reset]; User logged off. 


@ 下 面 的 Log 表示 ,由 于 设备 ACL 资源 不 足 导致 用 户 上 线 不 成 功 , 需 查看 设备 ACL 资 
源 使 用 情况 。 


% Nov 16 22:09:03:375 2011 ZG-7503-1 PORTAL/5/PORTAL_ACL_FAILURE: The number of| 
ACLs on the device has reached the maximum. 


3.2.3 端口 安全 故障 排查 
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检查 设 知 NAS-IP 是 百 
与 认证 服务 器 互通 


检查 kEY 是 否 与 设备 


配置 -至 
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3 交换 技术 ASS 3.2.3 端口 安全 故障 排查 > 


1. 开始 

端口 安全 模式 可 大 致 分 为 两 大 类 : 控制 MAC 学 习 类 和 认证 类 。 所 以 定位 故障 思路 是 分 
别 对 这 两 大 类 可 能 产生 的 问题 进行 排查 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 端口 安全 是 否 成 功 开启 

要 使 用 端口 安全 功能 ,必须 先 在 全 局 视图 下 使 能 端口 安全 功能 。 

在 使 能 端口 安全 功能 之 前 ,需要 关闭 全 局 的 802. 1x 和 MAC 地 址 认证 功能 。 

命令 : port-security enable 


例如 : 在 已 经 使 能 dotlx 的 情况 下 ,通过 命令 使 能 端口 安全 功能 会 报错 。 


[H3C] port-security enable 
Error: Port-security can not be configured for dotlx is enabled. 


(2) 检查 是 否 存在 互 斥 功能 

端口 安全 和 dotlx 及 MAC 地 址 认证 功能 互 斥 ,不 能 同时 开启 。 

(3) 检查 Autolearn 模式 是 否 使 能 

在 配置 Autolearn 模式 之 前 ,需要 先 配 置 端口 安全 允许 的 最 大 MAC 地 址 数 。 

命令 : portsecurity port-mode autolearn 

例如 : 在 未 配置 端口 安全 允许 学 习 的 最 大 MAC 地 址 数量 情况 下 ,端口 下 使 能 Autolearn 
模式 会 报错 。 


[H3C -GigabitEthernet1/0/20]port-security port-mode autolearn 
Error: Cannot enable autoLearn for max MAC address count is not set. 


(4) 检查 MAC 地 址 学 习 是 否 正常 

开启 端口 安全 Autolearn 模式 之 后 ,端口 会 自动 学 习 MAC 直到 达到 端口 安全 允许 的 最 
大 MAC 数量 ,如 果 MAC 地 址 不 能 正常 学 习 , 先 检查 是 否 已 经 达到 最 大 数量 。 

MS: displayport-security interface GigabitEthernet inter face-number 

例如 : 通过 此 命令 可 以 查看 到 在 使 能 端口 安全 Autolearn 模式 ,端口 G1/0/20 配置 的 最 
大 自动 学 习 MAC 数量 为 20。 


[lsw-center] display port-security interface GigabitEthernet 1/0/20 

Equipment port-security is enabled 

Trap is disabled 

AutoLearn aging time is 0 minutes 

Disableport Timeout: 20s 

OUI value: 

GigabitEthernet1/0/20 is link-down 
Port mode is autoLearn 
NeedToKnow mode is disabled 
Intrusion Protection mode is NoAction 
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Max MAC address number is 20 

Stored MAC address number is 0 
Authorization is permitted 

Security MAC address learning mode is sticky 
Security MAC address aging type is absolute 


(5) 检查 人 侵 检 测 是 否 开启 

如 果 发 现 开 启 端口 安全 的 端口 不 能 通信 ,可 以 检查 设备 是 否 开 启 了 入 侵 检测 特性 。 
设备 上 入 侵 检测 默认 是 关闭 的 。 

开启 入 侵 检测 后 ,会 触发 下 面 三 种 安全 措施 。 


O blockmac: 表示 将 非法 报 文 的 源 MAC 地 址 加 入 阻塞 MAC 地址 列表 中 , 源 MAC 地 址 
为 阻塞 MAC 地 址 的 报 文 将 被 丢弃 。 此 MAC 地 址 在 被 阻塞 3 分 钟 (系统 默认 ,不 可 配 ) 后 恢复 


正常 。 
@ disableport: 表示 将 收 到 非法 报 文 的 端口 永久 关闭 。 


@ disableport-temporarily: 表示 将 收 到 非法 报 文 的 端口 暂时 关闭 一 段 时 间 。 关 闭 时 长 


可 通过 port-security timer disable port 命令 配置 。 
命令 : display port-security interface GigabitEthernet inter face-number 


例如 : 通过 此 命令 可 以 查看 到 端口 G1/0/20 采用 了 disableport 的 入 侵 检 测 模 式 。 


[lsw-center]display port-security interface GigabitEthernet 1/0/20 
Equipment port-security is enabled 
Trap is disabled 
AutoLearn aging time is 0 minutes 
Disableport Timeout: 20s 
OUI value: 
GigabitEthernet1/0/20 is link-down 
Port mode is autoLearn 
NeedToKnow mode is disabled 
Intrusion Protection mode is DisablePort 
Max MAC address number is 20 
Stored MAC address number is 0 
Authorization is permitted 
Security MAC address learning mode is sticky 
Security MAC address aging type is absolute 


(6) 检查 Trap 发 送 特性 是 否 开启 


如 果 端 口上 发 生 关键 事件 时 没有 触发 对 应 的 Trap 信息 ,需要 检查 Trap 发 送 特性 是 否 


开启 。 
设备 上 默认 Trap 发 送 特性 是 关闭 的 。Trap 发 送 包 括 下 面 几 种 情况 。 
Q@ addresslearned: 端口 学 习 到 新 MAC 地 址 时 发 出 告警 信息 。 


@ dotlxlogfailure/dotlxlogon/dotlxlogoff: 802. 1x 用 户 认证 失败 /认证 成 功 /下 线 时 发 


出 告警 日 志 。 


@ ralmlogfailure/ralmlogon/ralmlogoff: MAC 地 址 认证 用 户 认证 失败 /认证 成 功 /下 线 


时 发 出 告警 信息 。 
@ intrusion: 发 现 非法 报 文 时 发 出 告警 信息 。 


命令 : displayport-security interface inter face-number 
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例如 : 通过 命令 可 以 查看 到 对 应 的 addresslearned 的 Trap 发 送 特性 已 经 开启 。 


[H3C] display port-security interface g1/0/20 
Equipment port-security is enabled 
AddressLearned trap is enabled 
AutoLearn aging time is 0 minutes 
Disableport Timeout: 20s 
OUI value: 

GigabitEthernet1/0/20 is link-down 
Port mode is autoLearn 
NeedToKnow mode is disabled 
Intrusion Protection mode is DisablePort 
Max MAC address number is 20 
Stored MAC address number is 0 
Authorization is permitted 
Security MAC address learning mode is sticky 
Security MAC address aging type is absolute 


(7) 检查 是 否 配置 正确 的 认证 模式 


端口 安全 认证 类 功能 提供 了 更 为 灵活 的 认证 模式 。 可 灵活 选择 不 同 的 dotlx 和 MAC 认 
证 方式 。 要 根据 客户 的 实际 应 用 情况 ,选择 适当 的 认证 模式 。 如 果 认 证 未 符合 预期 结果 , 则 需 


先 排 查 认证 模式 是 否 正确 。 
命令 : display port-security interface 


例如 : 查看 到 端口 G1/0/21 当前 认证 模式 为 user Login。 


[H3C] display port-security int GigabitEthernet 1/0/21 
Equipment port-security is enabled 

AddressLearned trap is enabled 

AutoLearn aging time is 0 minutes 

Disableport Timeout: 20s 

OUI value: 


GigabitEthernet1/0/21 is link-down 
Port mode is userLogin 
NeedToKnow mode is disabled 
Intrusion Protection mode is NoAction 
Max MAC address number is not configured 
Stored MAC address number is 0 
Authorization is permitted 
Security MAC address learning mode is sticky 
Security MAC address aging type is absolute 


(8) 检查 设备 NAS-IP 是 否 与 认证 服务 器 互通 
确保 设备 与 认证 服务 器 之 间 IP 和 端口 可 达 。 

(9) 检查 KEY 是 否 与 设备 配置 一 致 

检查 设备 KEY 配置 是 否 与 认证 服务 器 配置 的 一 致 。 
(10) 检查 Domain 域 配 置 是 否 正确 


H3C 设备 默认 的 Domain 域 是 system, 如 果 不 指 定 域 后 缀 ,用 户 认证 的 时 候 都 会 到 默认 
的 system 域 去 认证 ,要 检查 默认 域 是 否 配置 为 用 户 的 认证 域 。 另 外 不 管 是 否 存在 计 费 和 授 


权 , 在 Domain 下 都 要 同时 指定 认证 ,授权 、 计 费 的 Radius-scheme, 三 者 同 配 , 缺 一 不 可 。 
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命令 : domain default enable h3c 


例如 : 查看 配置 中 认证 ,授权 、 计 费 的 引用 ,并 配置 用 户 认 证 域 H3C 为 默认 的 Domain, 


[H3C] domain h3c 
[H3C-isp-h3c]display this 
# 
domain h3c 
authentication default radius-scheme imc 
authorization default radius-scheme imc 
accounting default radius-scheme imc 
access-limit disable 
state active 
idle-cut disable 
self-service-url disable 


[H3C] domain default enable h3c 


检查 NAS-IP 
配置 是 否 正确 


£ i £ Radus Scheme 
状 公 信息 
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1. 开始 

MAC 地 址 认证 是 一 种 基于 端口 和 MAC 地 址 对 用 户 的 网 络 访问 权限 进行 控制 的 认证 方 
法 ,是 基于 C/S 架构 的 ,客户 端 和 服务 器 都 要 排查 ,所 以 定位 故障 的 思路 是 分 别 检查 用 户 接 入 
设备 和 远 端 负责 对 用 户 进行 认证 的 Radius 服务 器 。 

2. 流程 图 相关 操作 说 明 


(1) 查看 用 户 是 否 在 线 
在 设备 上 查看 用 户 是 否 在 线 。 


MA: display connection 


display connection ucibindex uncibindex-number 
例如 : 通过 命令 查看 在 线 用 户 信息 ,可 以 确认 用 户 名 admin 的 用 户 已 经 在 线 , 其 用 户 索 引 
为 134, 后 面 跟 ucibindex 参数 及 对 应 用 户 的 索引 134 可 查看 对 应 在 线 用 户 0026-B9AA-C9FB 
的 详细 信息 。 


<H3C>display connection 

Slot: 1 

Index=134 , Username=0026-B9AA-C9FB@ system 
IP=10.153.47.44 

IPv6=N/A 

<H3C>display connection ucibindex 134 

Slot: 1 

Index=134, Username=0026-B9AA-C9FB(@ system 
IP=10.153.47.44 

IPv6=N/A 

Access 一 0026-B9AA-C9FB, AuthMethod= PAP 
Port Type= Virtual , Port Name=N/A 

Initial VLAN=N/A, Authorization VLAN=N/A 
ACL Group= Disable 

User Profile=N/A 

CAR= Disable 

Priority= Disable 

SessionTimeout=N/A, Terminate-Action= N/A 
Start= 2013-05-06 14:08:43 ,Current=2013-05-06 14:50:47 ,Online 一 00h42m04s 
Total 1 connection matched. 


(2) 检查 MAC 地 址 认证 用 户 名 格式 

检查 MAC 地 址 认证 用 户 名 格式 是 否 合理 ,默认 情况 下 ,使 用 用 户 的 源 MAC 地 址 做 用 户 
名 与 密码 ,其 中 字母 为 小 写 , MAC 地 址 不 带 连 字符 “-”, 可 以 采用 命令 macauthentication 
user-name-format 来 配置 用 户 名 格式 。 

G) 检查 设备 NAS-IP 与 Radius Server 是 否 互通 

确保 设备 到 Radius ServerIP 地 址 和 端口 可 达 。 

(4) 检查 Key 与 Radius Server 是 否 一 致 

查看 设备 侧 配置 的 Radius Key 和 Radius Server 侧 配置 的 Key 是 否 一 致 。 

命令 : display this 
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例如 : 通过 命令 查看 Key 配置 。 


[H3C] radius scheme imc 
[H3C-radius-imc] display this 
radius scheme ime 

primary authentication 1.1.1.1 
primary accounting 1.1.1.1 
key authentication h3c 

key accounting h3c 


user-name-format without-domain 


(5) 检查 Domain 或 Radius Scheme 配置 是 否 正确 


如 果 设 备 要 下 发 H3C 私有 Radius 属性 , 则 需要 将 服务 类 型 配置 为 extended, 
命令 : display this 


例如 : Radius Scheme 视图 下 查看 服务 类 型 是 否 为 extended。 


[H3C-radius-imc] display this 
server-type extended 

primary authentication 1.1.1.1 
primary accounting 1.1.1.1 


secondary authentication 1.1.1.17 
secondary accounting 1.1.1.17 


我 们 设备 默认 的 domain 域 是 system, 如果 不 指定 域 后 级 ,用 户 认 证 的 时 候 都 会 到 默认 的 
system 域 去 认证 ,要 检查 默认 域 是 否 配置 为 用 户 的 认证 域 。 另 外 不 管 是 否 存在 计 费 和 授权 ， 
在 domain 下 都 要 同时 指定 认证 ,授权 、 计 费 的 Radius-scheme, 三 者 同 配 , 缺 一 不 可 。 

MS: display this 


domain default enable h3c 


例如 : 查看 配置 中 认证 、 授 权 、` 计 费 的 引用 ,并 配置 用 户 认证 域 H3C 为 默认 的 domain, 


[H3C]domain h3c 
[H3C-isp-h3c]display this 
# 


domain h3c 


authentication default radius-scheme imc 
authorization default radius-scheme imc 
accounting default radius-scheme imc 
access-limit disable 

state active 

idle-cut disable 

self-service-url disable 


[H3C] domain default enable h3c 


(6) 查看 Radius Scheme 状态 信息 


不 仅 要 确认 到 Radius 服务 器 路 由 可 达 , 还 要 确认 对 应 认证 、 计 费 、 授 权 服务 器 是 否 端口 
可 达 。 


MA: display raidus scheme imc 


例如 : 通过 命令 查看 radius scheme 状态 信息 ,确认 其 状态 为 active。 
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< H3C>-4isplay radius scheme imc 
SchemeName : imc 


Index : 1 Type : extended 
Primary Auth Server: 
JP; S ed Port: 1812 State: active 


Encryption Key : N/A 

VPN instance : N/A 

Probe username : N/A 

Probe interval : N/A 

Primary Acct Server: 

PETIA Port: 1813 State: active 
Encryption Key : N/A 

VPN instance : N/A 


(7) 查看 MAC 认证 静默 时 间 配 置 是 否 合理 

若 MAC 地 址 认证 失败 ,此 MAC 会 被 加 为 静默 MAC, 来 自 此 MAC 地 址 的 用 户 报 文 到 达 
时 ,设备 直接 做 丢弃 处 理 , 以 防止 非法 MAC 短 时间 内 的 重复 认证 。 

命令 : macauthentication timer quiet 

(8) NAS-IP 配置 是 否 正确 

检查 服务 器 侧 是 否 配置 了 NAS-IP 以 及 配置 的 NAS-IP 是 否 与 设备 指定 的 NAS-IP 一 
致 。 如 图 3-4 所 示 ,这 里 设备 的 NAS-IP 为 10. 1.1. 200, 则 在 iMC 侧 配 置 的 接 入 设备 IP 也 要 
是 10. 1.1. 200。 


Tirs >> MPRATH >> BARGEN >> RARERE >> 查看 设备 接 入 配置 信息 


查看 设备 接 入 配置 信息 
设备 名 称 
接 入 区 域 
认证 端口 1812 
iman 1813 
业务 类 型 LAN 接 入 业务 
接 入 设备 类 型 H3C(General) 
组 网 方式 不 启用 混合 组 网 
asen w 
业务 分 组 未 分 组 
最 近 一 次 下 发 时 间 
下 发 结果 未 下 发 
下 发 失败 原因 
最 近 一 次 同步 时 间 
端口 配置 同步 结果 未 同步 
同步 失败 原因 
下 发 配置 类 型 


图 3-4 查看 设备 接 人 配置 信息 


(9) Radius 进程 是 否 正常 启动 

查看 服务 器 侧 Radius 进程 是 否 正常 启动 ,是 否 存 在 应 用 端口 号 被 占用 的 情况 ,以 及 是 否 
配置 Radius 代理 。 

(10) 是 否 下 发 了 设备 不 支持 的 属性 

服务 器 可 以 下 发 各 种 Radius 属性 ,有 些 属 性 对 格式 有 要 求 , 要 注意 下 发 的 属性 格式 在 设 
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备 上 是 否 能 够 支持 。 如 果 下 发 了 设备 不 支持 的 属性 会 导致 认证 失败 。 常 用 的 Radius 属性 有 : 
用 户 权 限 、.ACL、VLAN、CAR 限 速 。 常 见 的 Radius 属性 如 表 3-1 所 示 。 


表 3-1 常见 的 Radius 属性 


(11) 查看 认证 失败 或 下 线 原因 
Radius 服务 器 都 会 有 对 应 的 日 志 记 录用 户 认证 失败 或 下 线 的 原因 。 常 见 的 下 线 原因 ,可 


以 参考 下 面 的 说 明 。 


属性 格式 (Text， 
属 性 名 String, Address, 具体 定义 
编号 
Integert) 
Input-Peak-Rate 1 | Integer 用 户 接 入 到 NAS 的 峰值 速率 ,以 bps 为 单位 
Input-Average-Rate 2 | Integer 用 户 接 入 到 NAS 的 平均 速率 ,以 bps 为 单位 
PORR | 用 户 接 入 到 NAS 的 基本 速率 ,以 bps 为 单位 。( 这 个 
Ë 域 目前 没有 意义 ,建议 不 要 使 用 ) 
Output-Peak-Rate 4 Integer 从 NAS 到 用 户 的 峰值 速率 ,以 bps 为 单位 
Output-Average-Rate 5 Integer 从 NAS 到 用 户 的 平均 速率 ,以 bps 为 单位 
Output-Basic-Rate 6 Integer ed n bps 为 单位 。( 这 个 域 
EXEC 用 户 优先 级 。 
对 于 EXEC 用 户 ,用 户 的 优先 级 。 用 来 设置 EXEC 用 
Exec-Privilege 29 Integer 户 的 优先 级 。RADIUS 服务 器 在 认证 接收 报 文中 ,可 
以 用 属性 Exec_Privilege 携带 EXEC 用 户 的 优先 级 。 
该 属性 是 针对 管理 用 户 的 设置 
参照 RFC 定义 ,用 作 VPDN 组 号 
Tunnel-Private-Group-ID | 81 Integer 说 明 : 为 了 与 以 前 设备 实现 的 方式 兼容 ,该 属性 取 值 为 
kà g. [1-4094] 下 发 给 设备 的 值 的 类 型 为 Integer, 其 他 值 的 
类 型 为 String 
Tunnel-Assignment-ID 82 Integer 参照 RFC 定义 
访问 控制 列表 的 名 字 。 不 同 产品 实现 定义 不 同 。 建 议 
客户 端 不 要 对 Radius 服务 器 上 定义 的 FilterId 的 名 字 
String (协议 中 做 限制 ,具体 的 规则 在 客户 端 上 进行 配置 
biert i e r 属性 类 | MA5200; ACLGroup @ InterGroup， 其 中 ACLGroup 
EE TaD 可 以 是 ACL 组 号 ,也 可 以 为 是 ACL 组 名 ; InterGroup 
及 既 可 以 是 InterGroup 组 号 , 也 可 以 是 InterGroup 组 
名 。 如 果 带 有 多 个 FilterID, 则 只 有 最 后 一 个 Filter-ID 
起 作用 ,因此 建议 只 带 一 个 FilterID 


Acct-Terminate-Cause 


User-Request 


P 


# 这 种 情况 ,属于 用 户 请 求 下 线 ,一 般 为 客户 端 主动 下 线 , 需 要 检查 客户 端 。 


Acct-Terminate-Cause 


Idle-Timeout 


4 


# 这 种 情况 为 闲置 超时 下 线 。 


Acct-Terminate-Cause 


Session-Timeout 


5 


# 这 种 情况 为 会 话 超时 ,一 般 为 计 费 不 足 或 者 进行 了 时 间 段 限制 。 


VRRP RÈ HA” 


* 


查看 VRRP 报 文 上 


ik cm 状况 


Who u 


拨打 热线 
400-310-0504. 4 # 3 # $h 
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3 交换 技术 p 


1. 开始 


定位 故障 的 思路 是 : 首先 观察 备份 组 VRRP 状态 是 否 稳定 。 如 果 状 态 稳定 , 则 检查 
VRRP 接口 实 IP 地 址 能 否 互 通 ,再 检查 VRRP 配置 是 否 正 确 ,最 后 查看 协议 报 文 的 发 送 状 
况 ; 如 果 状 态 频繁 切换 , 则 检查 收发 VRRP 报 文 所 在 VLAN 的 二 层 链 路 是 否 稳定 ,再 检查 
CPU 占用 率 是 否 正常 ,最 后 检查 VRRP 报 文 发 送 时 间 间 隔 是 否 过 短 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 VRRP 状态 是 否 稳定 
路 由 器 在 备份 组 中 的 状态 可 以 为 Master、Backup 和 Initialize。 检 查 VRRP 状态 是 否 存 
在 Master/Backup 频繁 切换 的 情况 。 

命令 : display vrrp 

例如 : 通过 命令 多 次 查看 ,可 以 确认 路 由 器 的 VRRP 状态 。 


<H3C>display vrrp 

IPv4 Standby Information: 
Run Mode : Standard 
Run Method : Virtual MAC 

Total number of virtual routers : 1 

Interface VRID State Run Adver Auth Virtual 

Pri Timer Type IP 
Vlanl 1 Backup 100 Simple 1.1.1.254 


(2) 查看 是 否 多 个 Master 


分 别 查看 每 台 路 由 器 备份 组 的 VRRP 状态 信息 ,是否 备份 组 中 存在 多 个 路 由 器 VRRP AR 
态 处 于 Master。 


(3) 检查 端口 是 否 Up 
检查 运行 VRRP 的 VLAN 虚 接 口 是 否 Up。 
MS: display inter face interface-type inter face-number 


例如 : 通过 命令 查看 VLAN 1 三 层 虚 接口 状态 是 否 Up。 


<H3C>display interface Vlan-interface 1 
Vlan-interfacel current state: Down 

Line protocol current state: Down 
Description: Vlan-interfacel Interface 


(4) 检查 VRRP 实 、 虚 拟 IP 地 址 是 否 同一 网 段 


确保 运行 VRRP 的 端口 Up 的 前 提 下 ,查看 VRRP 的 虚拟 IP 是 否 与 端口 实 IP 在 同一 
网 段 。 


例如 : 查看 运行 VRRP 的 端口 下 实 IP 地 址 与 虚拟 IP 地 址 。 
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[H3C] display current-configuration interface Vlan-interface 1 
# 
interface Vlan-interfacel 

ip address 1.1.1.252 255.255.255.0 

vrrp vrid 1 virtual-ip1.1.100.254 

vrrp vrid 1 virtual-ip 1. 1.100.254 


(5) 检查 端口 IP 地 址 互通 状况 
如 果 带 接口 源 地 址 互 ping VRRP 接口 的 实 IP 地 址 不 通 , 主 要 检查 以 下 内 容 。 
O 检查 接口 是 否 Up, 链 路 是 否 故障 。 
© 如 果 物 理 接口 是 access 端口, 是否 与 VRRP 备份 组 属于 同一 VLAN; 如 果 是 trunk 或 
者 hybrid 端口 ,端口 的 PVID 是 否 一 致 ,是 否 允 许 VRRP 备份 组 所 在 VLAN 通过 。 
O 端口 下 是 否 开启 了 认证 .ACL 过 滤 等 安全 功能 。 
(6) 检查 VRRP 配置 是 否 一 至 
主要 检查 内 容 包括 : 运行 模式 、VRID、Virtual IP. VRRP 报 文 发 送 间隔 时 间 、 抢 占 模式 、 
认证 方式 和 认证 字 的 配置 是 否 相同 。 
MS: display vrrp verbose inter face interface-type interface-number 
例如 : 通过 命令 查看 ,观察 Master 和 Slave 的 相关 参数 是 否 一 致 。 
< H3C>-4isplay vrrp verbose interface Vlan-interface 1 
IPv4 Standby Information: 
Run Mode :Standard 


Run Method : Virtual MAC 
Total number of virtual routers on interface Vlan1 : 1 


Interface Vlan-interface1 


VRID ʻi Adver Timer : 2 
Admin Status : Up State : Master 
Config Pri : 120 Running Pri : 120 
Preempt Mode :Yes Delay Time : 0 

Auth Type :Simple Key 1 关 关 并 关 关 闫 
Virtual IP :1.1.1.254 

Virtual MAC : 0000-5e00-0101 

Master IP a 4.1.1.253 


(7) 检查 VRRP 报 文 是 否 正确 收发 

在 中 间 设 备 或 互 连 接口 做 流量 统计 ,检查 是 否 有 VRRP 报 文 从 接口 发 出 或 接收 。 如 果 要 
检查 是 否 正常 发 出 了 VRRP 报 文 , 则 在 物理 接口 的 Outbound 方向 进行 流量 统计 ; 如 果 要 检 
查 是 否 正常 接收 了 VRRP 报 文 , 则 在 接口 的 Inbound 方向 进行 流量 统计 。 

MS: display qos policy interface inter face-type inter face-number 

例如 : 通过 匹配 源 地 址 为 1. 1. 1. 252、 目 的 地 址 为 224. 0. 0. 18 ,协议 号 为 112 的 VRRP 报 
文 ,对 这 一 类 型 的 报 文 在 接口 下 做 Inbound 方向 流量 统计 ,观察 VRRP 报 文 的 接收 情况 是 否 
正常 。 


[H3C] display current-configuration 


acl number 3000 
rule0 permit 112 source 1.1.1.252 0 destination 224.0.0.18 0 
# 
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[H3C] display qos policyinterface GigabitEthernet 3/0/1 

Interface: GigabitEthernet3/0/1 
Direction: Inbound 
Policy: ACT 
Classifier: ACT 

Operator: AND 

Rule(s) : If-match acl 3000 

Behavior: ACT 

Accounting Enable: 
51 (Packets) 


(8) 检查 二 层 链 路 质量 

O EH VRRP 接口 的 实 IP 地 址 互 ping 时 是 否 有 回应 超时 。 

O 检查 互 连 物理 端口 是 否 有 错误 报 文 的 增长 。 

@ 检查 链 路 状况 是 否 有 震荡 ,是 否 有 端口 频繁 Up/Down, 

@ 如 果 是 光 介质 ,检查 光 衰 减 是 否 在 正常 范围 之 内 。 

(9) 查看 VRRP 报 文 上 送 CPU 状况 

为 了 防止 协议 报 文 对 CPU 的 攻击 ,设备 根据 上 CPU 的 不 同类 型 的 报 文 设置 了 限 速 值 ， 
如 果 网 络 中 存在 大 量 VRRP 组 或 存在 恶意 攻击 ,使 得 每 秒 上 送 CPU 的 VRRP 报 文 超过 阅 值 ， 
那么 就 丢弃 超出 阔 值 的 VRRP 报 文 ,从 而 可 能 造成 某 些 VRRP 组 震荡 。 通 过 多 次 查看 CPU 
利用 率 ,可 以 判断 当前 的 CPU 状态 是 否 正常 。 如 果 CPU 占用 率 超过 90%, 则 说 明 对 CPU 占 
用 率 过 高 ,需要 先 对 CPU 任务 处 理 进行 排查 ; 否则 ,打开 VRRP 报 文 的 调试 开关 ,观察 VRRP 
报 文 的 交互 过 程 。 

MS: display cpu-usage 


例如 : 查看 当前 的 CPU 利用 率 。 


[H3C] display cpu-usage 
Slot 1 CPU usage: 
94% in last 5 seconds 
90% in last 1 minute 
88% in last 5 minutes 


命令 : debugging vrrp packet 
例如 : 通过 调试 信息 判断 ,VRRP 报 文 接收 间隔 与 通告 时 间 一 致 ,没有 出 现 丢 包 。 


<H3C> terminal debugging 

<H3C> terminal monitor 

<H3C>debugging vrrp packet 

* Jul 30 07:39:21:704 2013 H3C VRRP/7/DebugPacket: 

Received Advertisement message from 1.1.1.252 on Vlan-interfacel. 
VRID: 1 Pri: 110 Adver timer:1 secs 


* Jul 30 07:39:22:754 2013 H3C VRRP/7/DebugPacket: 
Received Advertisement message from 1.1.1.252 on Vlan-interface1. 
VRID: 1 Pri: 110 Adver timer:1 secs 


* Jul 30 07:39:23:809 2013 H3C VRRP/7/DebugPacket: 
Received Advertisement message from 1.1.1.252 on Vlan-interfacel . 
VRID: 1 Pri: 110 Adver timer:1 secs 
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(10) 检查 VRRP 报 文 发 送 时 间 间 隔 

根据 网 络 的 流量 大 小 .设备 的 性 能 、 链 路 质量 状况 等 因素 ,合理 配置 VRRP 通告 报 文 的 发 
送 间隔 ,如 果 时 间 间 隔 过 短 ,可 能 造成 主 备 状态 的 频繁 切换 。 如 果 配 置 的 VRRP 组 数 较 多 时 ， 
建议 将 各 组 VRRP 通告 报 文 发 送 间隔 参数 按照 质数 的 方式 分 开设 置 , 以 避免 同一 时 刻 发 出 大 
Ht VRRP 报 文 导致 对 端 来 不 及 处 理 以 致 VRRP 状态 错误 。 比 如 第 一 组 配置 为 2 秒 ,第 二 组 配 
置 为 3 秒 , 第 三 组 配置 为 5 秒 , 依 此 类 推 。 

说 明 : VRRP 通告 报 文 发 送 时 间 间 隔 增 加 后 ,设备 的 抢占 等 待 时 间 也 会 增加 。 

MA: vrrp vrid virtual-router-id timer advertise adver-interval 


例如 : 在 运行 VRRP 的 接口 下 修改 VRRP 通告 报 文 的 发 送 间隔 为 3 秒 。 


<H3C>display vrrp interface Vlan-interface 1 vrid 1 
IPv4 Standby Information: 


Run Mode : Standard 
Run Method : Virtual MAC 
Interface VRID State Run Adver Auth Virtual 


Pri Timer Type IP 


Vlan1 1 Master 120 3 Simple 1.1.1.254 
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1. 开始 

定位 故障 的 思路 是 : 首先 观察 Track 项 状态 是 否 稳定 。 如 果 Track 项 状态 频繁 切换 , 则 
检查 网 络 质量 .CPU 占用 率 以 及 探测 报 文 发 送 频率 /超时 时 间 的 设置 ; 如 果 Track 项 稳定 在 
Negative 状态 , 则 检查 互联 网 络 状态 .BFD/NQA 的 配置 以 及 探测 报 文 的 收发 状况 ; 如 果 
Track 项 稳定 在 其 他 状态 , 则 检查 联动 的 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 Track 状态 是 否 稳 定 

Track 项 的 状态 分 为 Positive、Negative 和 Invalid。 查 看 Track 项 的 状态 是 否 存 在 
Positive/ Negative 频繁 切换 的 情况 。 

命令 : display track track-entry-number 


例如 : 通过 命令 查看 Track 1 的 当前 状态 。 


[H3C] display track 1 
Track ID: 1 
Status: Positive 
Duration: 0 days 0 hoursl minutes 22 seconds 
Notification delay: Positive 0, Negative 0 (in seconds) 
Reference object: 
BFD session: 
Packet type: Echo 
Interface : Vlan-interfacel 
Remote IP :1.1.1.253 
Local IP :1.1.1.252 


(2) 检查 网 络 连通 性 

O 使 用 探测 报 文 的 源 、 目 的 地 址 互 ping 时 是 否 有 回应 超时 。 

© 检查 互 连 端口 是 否 有 错误 报 文 的 增长 。 

@ 检查 链 路 状况 是 否 有 震荡 ,是 否 有 端口 频繁 Up/Down, 

D 如 果 是 光 介质 ,检查 光 衰 减 是 否 在 正常 范围 之 内 。 

(3) 检查 CPU 占用 率 

一 般 情况 下 ,CPU 利用 率 超过 90% 时 可 能 会 导致 探测 报 文 上 送 CPU 2 t , X HJ q; 3 E 
查 CPU 占用 率 高 的 原因 。 

MS: display cpu-usage 

例如 : 查看 设备 的 CPU 占用 率 。 


< H3C>4isplay cpu-usage 
Slot1 CPU usage: 
92% in last 5 seconds 
90% in last 1 minute 
81% in last 5 minutes 
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(4) 检查 探测 报 文 发 送 频 率 /超时 时 间 
根据 网 络 的 流量 大 小 、 设 备 的 性 能 、 链 路 质量 状况 等 因素 ,合理 配置 探测 报 文 的 发 送 间 隔 
以 及 失效 时 间 。 
O 修改 BFD 探测 报 文 的 发 送 间隔 和 允许 失效 的 最 大 个 数 。 
命令 : bfd min-echo-receive-interval value 
bfd detect-multiplier value 


例如 : 配置 bfd echo 报 文 发 送 间 隔 为 1000ms, 最 多 人 允许 6 个 报 文 失效 。 


< H3C>4isplay bfd session verbose 
Total session number: 1 Up session number: 1 Init mode: Active 
IPv4 session working under Echo mode: 
Local Discr: 35 


Source IP: 1.1.1.252 Destination IP: 1.1.1.253 
Session State: Up Interface: Vlan-interfacel 
Min Recv Inter: 1000ms Act Trans Inter: 1000ms 
Act Detect Inter:6000ms Running Up for: 00:10:47 
Connect Type: Direct Board Num: 2 


Protocol: Track 
Diag Info: No Diagnostic 


© 修改 NQA 探测 报 文 的 发 送 间 隔 和 人 允许 连续 的 探测 失败 次 数 。 
命令 : frequency interval 
reaction item-number checked-element probe-fail threshold-type consecutive 
consecutive-occurrences action-type trigger-only 


例如 : 配置 NQA 探测 报 文 发 送 间隔 为 1500ms, 最 多 允许 连续 5 个 报 文 失效 。 


[H3C-nqa-admin-test-icmp-echo]display this 
# 
type icmp-echo 
frequency 1500 
reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only 


(5) 查看 Track 状态 是 否 为 Negative 

通过 命令 查看 Track 项 状态 ,确定 稳定 在 Negative 状态 ,还 是 稳定 在 Positive 或 者 
Invalid 状态 。 

MA: display track track-entry-number 


例如 : 通过 命令 查看 Track 1 的 当前 状态 。 


[H3C]display track 1 
Track ID: 1 
Status: Negative 
Duration: 0 days 0 hours 0 minutes 2 seconds 
Notification delay: Positive 0, Negative 0 (in seconds) 
Reference object: 
NQA entry: admin test 
Reaction: 1 


(6) 检查 到 达 监 测 目 的 IP 互通 状况 
如 果 互 ping 监测 的 目的 IP 地 址 不 通 ,主要 检查 以 下 内 容 。 
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O 检查 接口 是 否 Up, 链 路 是 否 故障 。 
© 检查 二 层 接 口 是 否 允许 探测 报 文通 过 。 
O 端口 下 是 否 开 启 了 认证 ,ACL 过 滤 等 安全 功能 。 
(7) 检查 BFD/NQA 配置 
O 配置 Track 与 BFD 联动 时 ,VRRP 备份 组 的 虚拟 IP 地 址 不 能 作为 BFD 会 话 探测 的 
Local IP 和 Remote IP。 
@ 对 于 BFD Echo 模式 ,必须 BFD Echo 报 文 的 源 IP 地 址 ,这 一 IP 地 址 不 属于 该 设备 任 
何 一 个 接口 所 在 网 段 。 
© 对 于 NQA ,检查 是 否 配置 了 测试 组 进行 测试 的 启动 时 间 和 持续 时 间 ,并 检查 系统 时 间 
是 否 在 二 启动 时 间 二 到 二 启动 时 间 十 持续 时 间 二 范围 之 内 。 
@ 当 Track 与 BFD 联动 时 ,检查 BFD 会 话 状 态 是 否 正 常 。 
MẸ: display bfd session verbose 
例如 : 通过 命令 查看 BFD 会 话 的 当前 状态 。 
<H3C>display bfd session verbose 
Total Session Num: 1 Init Mode: Active 


IPv4 Session Working Under Echo Mode: 
Local Discr: 36 


Source IP: 1.1.1.252 Destination IP: 1.1.1.253 
Session State: Up Interfa ce: Vlan-interfacel 
Min Recv Inter: 400ms Act Trans Inter: 400ms 
Act Detect Inter: 2000ms Running Up for: 00:00:09 
Connect Type: Direct Board Num: 1 


Protocol: Track 
Diag Info: No Diagnostic 


© ` Track 与 NQA 联动 时 ,检查 NQA 测试 组 的 监测 结果 。 
命令 : display nqa result admin-name operation-tag 


例如 : 通过 命令 多 次 查看 ,如 果 红 色 部 分 数字 全 为 0, 则 说 明 NQA 检测 失败 。 


[H3C]display nqa result admin test 
NQA entry (admin admin, tag test) test results: 
Destination IP address:1.1.1.253 
Send operation times: 1 Receive response times: 1 
Min/Max/ Average round trip time:9/9/9 
Square-Sum of round trip time:81 
Last succeeded probe time:2012-11-08 17:20:11.8 


(8) 检查 探测 报 文 收发 状况 

O 对 于 BFD 探测 报 文 ,匹配 源 地 址 为 BFD Echo-Source-IP, 源 、 目 的 端口 为 3785 的 UDP 
报 文 ; 对 于 NQA 探测 报 文 , 根 据 配置 的 源 、 目 的 IP 地 址 及 报 文 类 型 匹配 报 文 。 

命令 : display qos policy inter face inter face-type inter face-number 

例如 : 通过 匹配 指定 的 源 、 目 的 IP、 协 议 类 型 为 ICMP 的 NQA 探测 报 文 ,对 这 一 类 型 的 
报 文 在 接口 下 做 流量 统计 ,观察 报 文 的 收发 情况 是 否 正常 。 


[H3C] display current-configuration 
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acl number 3000 


rule 0 permit icmp source 1.1.1.252 0 destination 1.1.1.253 0 
# 
[H3C]display qos policy interface GigabitEthernet 1/0/1 
Interface: GigabitEthernet1/0/1 
Direction: Inbound 
Policy: acc 
Classifier: acc 
Operator: AND 
Rule(s) : If-match acl 3000 
Behavior: acc 
Accounting Enable: 
26152 (Packets) 


说 明 : 在 封装 探测 报 文 设备 的 出 接口 做 流量 统计 ,统计 不 到 探测 报 文 数据 为 正常 现象 。 
© 命令 : display nqa statistics 


例如 : 通过 命令 查看 NQA 报 文 统计 信息 ,检查 是 否 收 到 或 发 出 了 探测 报 文 。 


[H3C]display nqa statistics 
NQA entry (admin admin, tag test) test statistics: 
NO: a 
Destination IP address: 1.1.1.253 
Start time: 2012-11-08 13:05:02.2 
Life time: 1351 seconds 
Send operation times:7045 Receive response times: 6620 
Min/Max/ Average round trip time: 1/51/5 
Square-Sum of round trip time: 274288 
Extended results: 
Packet loss in test: 6% 
Failures due to timeout:425 
Failures due to disconnect: 0 
Reaction statistics: 


Index Checked Element Threshold Type Checked Num Over-threshold Num 
2 probe-fail consecutive 7044 425 


(9) 检查 引用 NQA 配置 
配置 Track 项 时 ,如 果 引 用 了 错误 的 NQA 测试 组 , 则 该 Track 项 的 状态 为 Invalid。 
例如 : Track 项 错误 的 引用 了 NQA 测试 组 admin test Reaction 1 导致 Track 项 状态 为 


Invalid 。 


[H3C]display track 1 
Track ID: 1 
Status: Invalid 
Duration: 0 days 0 hours 1 minutes 9 seconds 
Notification delay: Positive 0, Negative 0 (in seconds) 
Reference object: 
NQA entry:admin test 
Reaction: 1 
[H3C]display nqa reaction counters admin test 
NQA entry (admin admin, tag test) reaction counters: 
Index Checked Element Threshold Type Checked Num Oxver-threshold Num 
2 probe-fail consecutive 833 73 
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(10) 检查 与 VRRP/ 静 态 路 由 /策略 路 由 联动 配置 

如 果 Track 项 状态 发 生变 化 时 ,无 法 与 应 用 模块 联动 ,检查 需要 关联 的 Track 项 是 否 已 创 
建 或 与 应 用 模块 关联 的 Track 项 是 否 正 确 。 

例如 : 查看 配置 的 静态 路 由 是 否 与 Track 项 正确 关联 。 


[H3C] display current-configuration | include ip route 
ip route-static 100.1.1.0 255.255.255.0 10.1.1.253 track 1 


[H3C] display track all 
Track ID: 1 
Status: Positive 
Duration: 0 days 0 hours 0 minutes 13 seconds 
Notification delay: Positive 0, Negative 0 (in seconds) 
Reference object: 
NQA entry: admin test 
Reaction: 2 
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1. RRPP 问题 排查 

定位 故障 的 思路 是 : 查看 RRPP 协议 和 RRPP 环 是 否 使 能 ,查看 RRPP 的 域 ID 配置 是 否 
相同 ,查看 控制 VLAN 和 保护 VLAN 配置 是 否 相 同 ,查看 环 上 各 个 节点 的 端口 状态 是 否 正 
常 ,查看 环 上 各 个 节点 的 协议 报 文 收发 情况 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 RRPP 协议 和 RRPP 环 是 否 使 能 

查看 环 上 各 个 节点 RRPP 协议 和 RRPP 环 是 否 使 能 ,只 有 当 RRPP 协议 和 RRPP 环 都 使 
能 之 后 ,当前 设备 的 RRPP 域 才能 被 激活 。 

命令 : display rrpp brief 

例如 : 通过 命令 查看 ,可 以 确认 RRPP 协议 已 经 使 能 ,RRPP 环 1 已 经 使 能 。 


<H3C>display rrpp brief 
Flags for Node Mode : 
M — Master , T -- Transit , E -- Edge , A -- Assistant-Edge 


RRPP Protocol Status: Enable 
Number of RRPP Domains:1 


Ring Ring Node Primary/Common Secondary/Edge Enable 
ID Level Mode Port Port Status 


J. 1 M GE1/0/1 GE1/0/2 Yes 


(2) 查看 RRPP 的 域 ID 配置 是 否 相同 

查看 环 上 各 个 节点 RRPP 的 域 ID 配置 是 否 相同 , 域 ID 用 来 唯一 标识 一 个 RRPP 域 ,在 
同一 RRPP 域内 的 所 有 节点 上 应 配置 相同 的 域 ID 。 

MS: display current-configuration | include rrpp domain 


例如 : 通过 命令 查看 ,可 以 确认 RRPP 的 域 ID 为 1。 


<H3C>display current-configuration | include rrpp domain 
rrpp domain 1 


(3) 查看 控制 VLAN 和 保护 VLAN 配置 是 否 相同 

查看 环 上 各 个 节点 的 控制 VLAN 和 保护 VLAN 配置 是 否 相 同 ,在 同一 RRPP 域内 的 所 
有 节点 上 应 配置 相同 的 控制 VLAN 和 相同 的 保护 VLAN. 

命令 : display stp region-con figuration 

例如 : 通过 命令 查看 ,可 以 确认 RRPP 的 控制 VLAN 为 4000 ,保护 VLAN 的 MSTI 为 
0, 且 MSTI 0 所 映射 的 VLAN 列表 是 1 to 4094, 


[H3C-rrpp-domain1]dis this 
# 
rrpp domain 1 

control-vlan 4000 
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protected-vlan reference-instance 0 


# 


<H3C>dis stp region-configuration 
Oper configuration 


Format selector :0 
Region name :c4cad9c05138 
Revision level :0 


Configuration digest :0xac36177f50283cd4b83821d8ab26de62 


Instance Vlans Mapped 
0 1 to 4094 


(4) 查看 环 上 各 个 节点 的 端口 状态 

查看 环 上 各 个 节点 的 端口 状态 是 否 正常 。 

MS: display rrpp verbose domain domain-id 

例如 : 通过 命令 查看 ,可 以 确认 该 节点 为 主 节点 , 主 端口 为 Up 状态 副 端口 为 Blocked 状 
态 , 即 环 网 为 健康 状态 。 


<H3C> display rrpp verbose domain 1 

Domain ID zat 

Control VLAN : Major4000 Sub 4001 

Protected VLAN : Reference Instance 0 

Hello Timer :1 sec Fail Timer : 3 sec 

Fast Detection Status: Disable 

Fast Hello Timer: 100 ms Fast Fail Timer: 300 ms 


Ring ID gn 
Ring Level :0 

Node Mode : Master 

Ring State : Complete 

Enable Status s Yes Active Status: Yes 

Primary port : GE1/0/1 Port status: Up 
Secondary port : GE1/0/2 Port status : Blocked 


(5) 查看 环 上 各 个 节点 的 协议 报 文 收发 情况 

查看 环 上 各 个 节点 的 协议 报 文 收发 情况 。 

MS: display rrpp statistics domain domain-id 

例如 : 通过 命令 查看 ,可 以 确认 主 端口 GE1/0/1 发 送 了 16424 个 Hello 报 文 和 1 个 
Complete Flush FDB 报 文 ; 副 端口 GE1/0/2 接收 了 16424 个 Hello 报 文 和 1 个 Complete 
Flush FDB 报 文 。 


—<Sysname>- display rrpp statistics domain 1 
Ring ID Si 

Ring Level :0 

Node Mode : Master 

Active Status : Yes 

Primary port : GE1/0/1 

Fast Hello Packets: 0 Send, 0 Rev 

Fast Edge Hello Packets: 0 Send, 0 Rev 
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Packet Link Common Complete Edge Major Packet 
Direct Hello Down Flush FDB Flush FDB Hello Fault Total 
Send 16424 0 0 1 0 0 16425 
Rev 0 0 9 0 0 0 0 

Secondary port: GE1/0/2 
Packet Link Common Complete Edge Major Packet 
Direct Hello Down Flush FDB Flush FDB Hello Fault Total 
Send 0 0 0 0 0 0 
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* 


检查 芭 F 配 置 
查看 取 Fporto 状态 


检查 IRF 报 文 
是 否 超时 


wara 
400-810-0504 Z, F- H S 
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03 交换 技术 “多 3.4 HERR 步骤 详解 


1. 开始 
定位 故障 的 思路 是 : Juj f E X, MAD 状态 是 否 正 常 ,再 检查 设备 是 否 故障 ,然后 检查 
JE S BE F ,最 后 检查 配置 。 
2. 流程 图 相关 操作 说 明 
(1) r Ek X MAD 状态 
检查 各 成 员 设 备 是 否 正 确 处 于 堆 释 状态 以 及 MAD 检测 机 制 是 否 检测 到 分 裂 。 
MS: display irf 
display mad verbose 


例如 : 通过 命令 查看 ,可 以 确认 各 成 员 设备 已 经 正确 处 于 堆 倒 状态 , 且 MAD 处 于 检测 


<H3C>display irf 
Switch Role Priority CPU-Mac Description 
< 十 1 Master 10 c4ca-d9ab-8c95 
2 Slave il c4ca-d9ab-8cf5 


% indicates the device is the master. 
+ indicates the device through which the user logs in. 


The Bridge MAC oí the IRF is: c4ca-d9ab-8c94 


Auto upgrade : yes 
Mac persistent : 6 min 
Domain ID 20 


<H3C> display mad verbose 
Current MAD status: Detect 
Excluded ports( configurable) : 
Vlan-interface999 
Excluded ports(can not be configured) : 
Ten-GigabitEthernet1/0/25 
MAD ARP enabled interface: 
Vlan-interface2 
MAD enabled aggregation port: 
Bridge-Aggregation1 
MAD BFD enabled interface: 
Vlan-interface3 
mad ip address 3.3.3.1 255.255.255.0 member 1 
mad ip address 3.3.3.2 255.255.255.0 member 2 


如 果 MAD 当前 的 状态 为 Recovery, 表 示 发 生 多 Active 冲突 ERDA. 

(2) 检查 成 员 设备 是 否 单 体 故障 

要 保证 堆 和 琶 系 统 的 正常 建立 及 运行 ,必须 确保 各 成 员 的 正常 运行 ,检查 设备 及 堆 琶 接口 是 
和 否 硬 件 故 障 ,并 检查 设备 的 基本 运行 是 否 正常 。 

例如 : 通过 查看 设备 面板 SYS, POWER 指示 灯 绿 色 常 亮 ,7 段 数 码 指示 灯 ( 盒 式 设备 ) 绿 
色 常 亮 且 显示 具体 的 数字 , 主 控 板 上 对 应 堆 又 接口 板 权 位 指示 灯 ( 框 式 设备 )RUN 闪烁 .ALM 
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灯 灭 ,可 以 确认 设备 或 堆 琶 接口 板 基 本 运行 正常 。 
O 检查 硬件 .软件 一 致 性 
IRF 的 正常 建立 对 设备 及 软件 版 本 有 严格 的 要 求 : 软件 版 本 必须 一 致 且 硬 件 满足 堆 秋 
EFs 
MS: display version 
例如 : 通过 命令 查看 ,可 以 确认 各 成 员 设备 软件 版 本 一 致 。 
<H3C>display version 
H3C Comware Platform Software 
Comware Software, Version 5.20, Release 2108P01 


Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 
H3C S3600 V2-52TP-EI uptime is 0 week, 0 day, 3 hours, 26 minutes 


<H3C>dis version 

H3C Comware Platform Software 

Comware Software, Version 5.20, Release 2108P01 

Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 
H3C S3600 V2-52TP-EI uptime is 0 week, 0 day, 3 hours, 32 minutes 


(4) 查看 IRF-Port 口 状 态 

确认 堆 释 口 状 态 是 否 正 常 Up. 

MS: display irf topology 

例如 : 通过 命令 查看 ,可 以 确认 IRF-Port 状态 正常 。 


<H3C>display irf topology 
Topology Info 


IRF-Port1 IRF-Port2 
Switch Link neighbor Link neighbor Belong To 
1 DIS >a Up 2 c4ca-d9ab-8c95 
2 Up 1 DIS == c4ca-d9ab-8c95 


(5) G Ar EE EER 

确保 堆 释 链 路 的 正常 是 堆 秋 建立 的 关键 ,包括 检查 专用 堆 释 电缆 或 光 模块 .光纤 以 及 IRF 
物理 口 是 否 正常 。 

MS: display transceiver diagnosis inter face interface-type interface-number 


例如 : 通过 命令 查看 光 模 块 信息 ,可 以 确认 光 模 块 收发 功率 都 在 正常 范围 。 


[H3C] display transceiver diagnosis interface GigabitEthernet 1/0/52 
GigabitEthernet1/0/52 transceiver diagnostic information: 
Current diagnostic parameters: 
Temp. (iaC) Voltage(V) Bias(mA) RX power(dBm) TX power(dBm) 
42 8.32 19.15 —4.13 —6.77 


通过 蔡 换 测试 来 进一步 排除 堆 琶 电缆 、 光 模块 .光纤 IRF 物理 口 的 故障 ,确保 IRF 正常 
建立 。 

(6) 检查 IRF 配置 

IRF 的 配置 是 否 正确 。 


命令 : display current-con figuration 
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例如 : 通过 命令 查看 ,可 以 确认 IRF 配置 正确 。 


< H3C>-4isplay current-configuration 
# 

irf mac-address persistent timer 

irf auto-update enable 

undo irf link-delay 

irf member 1 priority 10 

# 

# 

irf-port 1/2 

port groupinterface GigabitEthernet1/0/52 mode normal 
# 

irf-port 2/1 

port groupinterface GigabitEthernet2/0/52 mode normal 
# 


(7) 检查 IRF-Port 物理 连接 

本 设备 上 与 IRF-Portl 绑 定 的 IRF 物理 端口 只 能 和 邻居 成 员 设 备 IRF-Port2 口上 绑 定 
的 IRF 物理 端口 相连 ,本 设备 上 与 IRF-Port2 口 绑 定 的 IRF 物理 端口 只 能 和 邻居 成 员 设备 
IRF-Portl H EREK IRF 物理 端口 相连 ,否则 不 能 形成 IRF. 

MA: display current-con figuration 

例如 : 通过 命令 查看 ,成 员 设备 1 配置 了 IRF-Port2 ,成 员 设备 2 配置 了 IRF-Portl ,并 通 
EHETE HE K IE WAE tk 


<H3C>display current-configuration 


# 

irf-port 1/2 

port groupinterface Ten-GigabitEthernet1/0/52 mode normal 
# 

irf-port 2/1 

port group interface Ten-GigabitEthernet2/0/52 mode normal 
# 


(8) 检查 IRF 报 文 是 否 超时 
成 员 设备 间 是 否 正常 交互 IRF Hello 报 文 。 
MS: display irf topology 
例如 : 通过 命令 查看 ,IRF Hello 报 文 超时 。 


<H3C>display irf topology 
Topology Info 
IRF-Port1 IRF-Port2 
Switch Link neighbor Link neighbor Belong To 
1 DIS == TIMEOUT 2 c4ca-d9ab-8c95 
2 TIMEOUT J DIS Sa c4ca-d9ab-8c95 
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— ++ usss 


=== 表示 上 - 步 结果 出 现 问题 
* 


有 £ 
x £ Bibo, 3 ik 
配置 和 信任 模式 


查看 队列 调度 配置 


查看 化 此 级 
映射 表 和 队列 统计 信息 
1i tk Ae. E 4 3 H k 


拨打 热线 
400-310-0504 2 T- H 
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E saas 


1. 开始 

定位 故障 的 思路 是 : 在 入 端口 进行 流量 分 类 , 报 文 根 据 优先 级 进入 不 同 队列 ; 在 出 端口 
拥塞 时 ,各 队列 采用 不 同 的 调度 方式 ,差异 化 的 转发 报 文 。 

先 查 流标 记 , 再 查 优先 级 映射 ,然后 查看 队列 调度 ,最 后 查看 拥塞 避免 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 端口 优先 级 配置 和 信任 模式 

查看 流量 进入 交换 机 接口 的 端口 优先 级 配置 和 信任 模式 。 

MA: display qos trust inter face inter face-type inter face-number 

例如 : 通过 命令 查看 ,可 以 确认 GigabitEthernet 1/0/1 的 端口 优先 级 为 4, 信任 模 式 为 
802.1p。 设 备 将 根据 报 文 携带 的 802. 1p 优先 级 查找 映射 表 进 行 优先 级 映射 ; 而 接收 到 的 报 
文 没有 携带 802. 1Q 标签 时 ,设备 将 使 用 接收 端口 的 端口 优先 级 4 作为 报 文 的 802. 1p 优先 
级 ,并 依 此 进行 优先 级 映射 。 
<H3C>display qos trust interface GigabitEthernet 1/0/1 
Interface: GigabitEthernet1/0/1 
Port priority information 


Port priority :4 
Port priority trust type :dotlp 


(2) 查看 重 标记 配置 

查看 交换 机 端口 人 方向 是 否 配置 了 重 标记 策略 。 

命令 : display qos policy inter face inter face-type inter face-number 

例如 : 通过 命令 查看 ,可 以 确认 端口 GigabitEthernet1/0/1 下 发 了 重 标记 策略 ,对 匹配 
ACL3000 的 报 文 重 标记 802. 1p 优先 级 为 5。 


<H3C>display qos policy interface GigabitEthernet1/0/1 
Interface: GigabitEthernet1/0/1 
Direction: Inbound 
Policy: qos 
Classifier: qos 
Operator: AND 
Rule(s) : If-match acl 3000 
Behavior: qos 
Marking: 
Remark dotlp COS 5 


(3) 查看 优先 级 映射 表 和 队列 统计 信息 

查看 设备 的 优先 级 映射 表 , 检 查 报 文 的 携带 优先 级 是 否 映 射 到 了 期 望 的 调度 优先 级 。 
命令 : display qos map-table dotlp-lp 

例如 : 通过 命令 查看 ,可 以 确认 802. 1p 优先 级 5 映射 到 了 本 地 优先 级 5。 


<H3C>display qos map-table dotlp-lp 
MAP-TABLE NAME: dotlplp TYPE: pre-define 
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IMPORT EXPORT 
0 2 
1 0 
2 T 
3 3 
4 4 
5: s 
6 6 
T 7 


查看 端口 队列 统计 信息 ,检查 报 文 匹 配 情况 。 
MA: display qos queue-statistics inter face inter face-type inter face-number 


例如 : 通过 命令 查看 ,可 以 确认 本 地 优先 级 5 队列 已 经 有 报 文 匹配 通过 。 


0 


vanene 


<H3C>display qos queue-statistics interface GigabitEthernet 1/0/2 

Interface: GigabitEthernet1/0/2 

Direction: Outbound 

Queue Queued packets Passed packets Dropped packets Passed rate(bps) 


0 0 0 0 
0 0 0 0 
0 1 0 0 
0 0 0 0 
0 0 0 0 
0 96 0 3000 
0 0 0 0 
0 4 0 0 


(4) 修改 优先 级 映射 表 

修改 报 文 的 携带 优先 级 使 之 映射 到 期 望 的 调度 优先 级 。 

命令 : qos ma p-table dotlp-lp 

例如 : 修改 802. 1p 优先 级 0 映射 到 了 本 地 优先 级 1; 修改 802. 1p 优先 级 5 映射 到 了 本 


地 优先 级 2。 


# 


return 


[H3C-maptbl-dot1p-Ip]dis this 


qos map-table dot1p-Ip 
import 0 export 1 
import 5 export 2 


(5) 查看 队列 调度 配置 

查看 队列 调度 配置 ,检查 调度 类 型 是 否 满足 业务 要 求 。 

fh. display qos sp /wrr/wfq inter face inter face-type inter face-number 

例如 : 通过 命令 查看 ,可 以 确认 接口 GigabitEthernet 1/0/2 使 能 了 SP 十 WFQ 队列 ,其 中 
5 队列 属于 SP 调度 组 ,其 他 队列 属于 WFQ 调度 组 。 


# 


[H3C-GigabitEthernet1/0/2]display this 


interface GigabitEthernet1/0/2 
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port link-mode bridge 
qos wfq byte-count 
qos wÍq 5 group sp 
# 
Return 
[H3C] display qos wfq interfaceGigabitEthernet1/0/2 
Interface: GigabitEthernet1/0/2 
Output queue: Hardware weighted fair queue 
Queue ID Group Byte-count Min-Bandwidth 


(6) 接口 速率 和 链 路 带宽 是 否 匹 配 
检查 接口 运行 速率 是 否 等 于 链 路 带宽 。 
MA: display inter face interface-type inter face-number 


例如 : 通过 命令 查看 ,可 以 确认 接口 GigabitEthernet 1/0/2 运行 速率 为 100Mbps。 


[H3C] display interface GigabitEthernet 1/0/2 


(7) 检查 接口 LR 或 GTS 配置 
查看 接口 是 否 配置 了 LR 或 GTS, 确 保 限 速 带宽 和 链 路 带宽 一 致 , 
命令 : display qos Ir /gts inter face inter face-type inter face-number 


例如 : 通过 命令 查看 ,可 以 确认 接口 GigabitEthernet1/0/2 配置 了 LR 限 速 ,出 方向 带宽 


限 速 为 10Mbps。 


[H3C]display qos Ir interface GigabitEthernet1/0/2 
Interface: GigabitEthernet1/0/2 
Direction: Outbound 

CIR 10240 (kbps), CBS 640000 (byte) 


(8) 查看 拥塞 避免 配置 

查看 接口 是 否 应 用 了 WRED, 以 及 WRED 表 的 配置 情况 。 

命令 : display qos wred interface interfacetype interfacenumber; display qos wred 
table ¿nterfacetype inter face-number 


例如 : 通过 命令 查看 ,可 以 确认 GigabitEthernet1/0/2 口 已 应 用 了 WRED。 在 WRED & 


的 参数 配置 中 ,队列 5 的 丢弃 概率 为 0, 其 他 队列 的 丢弃 概率 采用 设备 默认 值 。 


[H3C]display qos wred interfaceGigabitEthernet1/0/2 
Interface: GigabitEthernet1/0/2 
Current WRED configuration: 
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Applied WRED table name: 1 


[H3C]display qos wred table 

Table Name: 1 

Table Type: Queue based WRED 

QID: gmin gmax gprob ymin ymax yprob rmin rmax rprob exponent ecn 
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03 交换 技术 3.6.1 Radius 故障 排查 > smua d 


1. 开始 

Radius 协议 承载 于 UDP 协议 ,是 基于 C/S 架构 的 ,客户 端 和 服务 器 都 要 排查 。 所 以 定位 
故障 的 思路 是 分 别 检查 作为 Radius 客户 端的 设备 侧 和 Radius 服务 器 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 用 户 是 否 在 线 

在 设备 上 查看 用 户 是 否 在 线 。 


MA: display connection 


display connection ucibindex ucibindex-number 
例如 : 通过 命令 查看 在 线 用 户 信息 ,可 以 确认 用 户 名 admin 的 用 户 已 经 在 线 ,其 用 户 索 引 
为 134, 后 面 跟 ucibindex 参数 及 对 应 用 户 的 索引 134 可 查看 对 应 在 线 用 户 admin 的 详细 
信息 。 


<H3C>display connection 

Slot: 1 

Index=134 , Username= admin@ system 
IP=10.153.47.44 
IPv6=N/A 

<H3C>display connection ucibindex 134 

Slot: 1 

Index= 134, Username=admin(@system 

IP=10.153.47.44 

IPv6=N/A 

Access= Admin ,AuthMethod=PAP 

Port Type= Virtual , Port Name=N/A 

Initial VLAN=N/A, Authorization VLAN=N/A 

ACL Group= Disable 

User Profile=N/A 

CAR = Disable 

Priority= Disable 

SessionTimeout=N/A, Terminate-Action= N/A 

Start= 2013-05-06 14:08:43 ,Current=2013-05-06 14:50:47 ,Online 一 00h42m04s 
Total 1 connection matched. 


(2) 检查 用 户 名 密码 

确保 客户 端 输入 的 用 户 名 密码 正确 。 

(3) 检查 设备 NAS-IP 与 Radius Server 是 否 互 通 

确保 设备 到 Radius ServerIP 地 址 和 端口 可 达 。 

(4) 检查 Key 与 Radius Server 是 否 一 臻 

查看 设备 侧 配置 的 Radius Key 和 Radius Server 侧 配置 的 Key 是 否 一 致 。 
命令 : display this 

例如 : 通过 命令 查看 Key 配置 。 


LH3C]radius scheme imc 
[H3C-radius-imc] display this 
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radius scheme imc 
primary authentication 1.1.1.1 
primary accounting 1.1.1.1 
key authentication h3c 
key accounting h3c 
user-name-format without-domain 


(5) 检查 Domain 或 Radius Scheme 配置 是 否 正确 
如 果 设 备 要 做 EAD 或 者 下 发 H3C 私有 Radius 属性 , 则 需要 将 服务 类 型 配置 为 


extended, 
命令 : display this 
例如 : Radius Scheme 视图 下 查看 服务 类 型 是 否 为 extended, 


[H3C-radius-imc] display this 
server-type extended 


primary authentication 1.1.1.1 
primary accounting 1.1.1.1 
secondary authentication 1.1.1.17 
secondary accounting 1.1.1.17 


我 们 设备 默认 的 domain 域 是 system, 如果 不 指定 域 后 级 ,用 户 认 证 的 时 候 都 会 到 默认 的 
system 域 去 认证 ,要 检查 默认 域 是 否 配置 为 用 户 的 认证 域 。 另 外 不 管 是 否 存在 计 费 和 授权 ， 
在 domain 下 都 要 同时 指定 认证 ,授权 、 计 费 的 Radius-scheme, 三 者 同 配 , 缺 一 不 可 。 

MA: display this 

domain default enable h3c 
例如 : 查看 配置 中 认证 ,授权 、 计 费 的 引用 ,并 配置 用 户 认证 域 H3C 为 默认 的 domain, 


[H3C] domain h3c 
[H3C-isp-h3c]display this 

# 

domain h3c 
authentication default radius-scheme imc 
authorization default radius-scheme imc 
accounting default radius-scheme ime 


access-limit disable 
state active 

idle-cut disable 
self-service-url disable 


[H3C] domain default enable h3c 


(6) 查看 Radius Scheme 状态 信息 

不 仅仅 要 确认 到 Radius 服务 器 路 由 可 达 , 还 要 确认 对 应 认证 、. 计 费 、 授 权 服务 器 是 否 端口 
可 达 。 

命令 : display raidus scheme 


例如 : 通过 命令 查看 radius scheme 状态 信息 ,确认 其 状态 为 Active, 
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<H3C>display radius scheme imc 
SchemeName : imc 


Index : 1 Type : extended 
Primary Auth Server: 
PLIA Port: 1812 State: active 


Encryption Key : N/A 

VPN instance : N/A 

Probe username : N/A 

Probe interval : N/A 

Primary Acct Server: 

ED Port: 1813 State: active 
Encryption Key : N/A 

VPN instance : N/A 


(7) NAS-IP 配置 是 否 正确 

检查 服务 器 侧 是 否 配置 了 NAS-IP 以 及 配置 的 NAS-IP 是 否 与 设备 指定 的 NAS-IP 
一 致 。 
如 图 3-5 所 示 ,这 里 设备 的 NAS-IP 为 10.1.1.200, 则 在 iMC 侧 配 置 的 接 入 设备 IP 也 要 
是 10. 1. 1. 200。 


PE ws > 用 户 接 入 管理 > 按 入 设备 管理 > BARENE > 查看 设备 接 入 配置 信息 


查看 设备 接 入 配置 信息 


设备 名 称 

接 入 区 域 

认证 端口 1812 

计 费 端口 1813 

业务 类 型 LAN 接 入 业务 
接 入 设备 类 型 H3C(General) 
组 网 方式 不 启用 混合 组 网 
Re 

业务 分 组 未 分 组 

最 近 一 次 下 发 时 间 

下 发 结果 未 下 发 

下 发 失败 原因 

最 近 一 次 同步 时 间 

端口 配置 同步 结果 未 同步 

同步 失败 原因 

下 发 配置 类 型 


图 3-5 查看 设备 移 人 配置 信息 


(8) Radius 进程 是 否 正常 启动 

查看 服务 器 侧 Radius 进程 是 否 正常 启动 ,是 否 存在 应 用 端口 号 被 占用 的 情况 ,以 及 是 否 
配置 Radius 代理 。 

(9) 是 否 下 发 了 设备 不 支持 的 属性 

服务 器 可 以 下 发 各 种 Radius 属性 ,有 些 属性 对 格式 有 要 求 ,要 注意 下 发 的 属性 格式 在 设 
备 上 是 否 能 够 支持 。 如 果 下 发 了 设备 不 支持 的 属性 会 导致 认证 失败 。 常 用 的 Radius 属性 有 : 
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用 户 权 限 、ACL、VLAN、CAR 限 速 。 常 见 的 Radius 属性 如 表 3-2 所 示 。 
表 3-2 常见 Radius 属性 


属性 格式 (Text， 
属性 名 String, Address, 具体 定义 
编号 
Integer) 
Input-Peak-Rate 1 |Integer 用 户 接 入 到 NAS 的 峰值 速率 ,以 bps 为 单位 
Input-Average-Rate 2 |Integer 用 户 接 入 到 NAS 的 平均 速率 ,以 bps 为 单位 
oup Diiic Rati 3: liaere 用 户 接 人 到 NAS 的 基本 速率 ,以 bps 为 单位 。( 这 个 域 
目前 没有 意义 ,建议 不 要 使 用 ) 
Output-Peak-Rate 4 |Integer 从 NAS 到 用 户 的 峰值 速率 ,以 bps 为 单位 
Output-Average-Rate 5 |Integer 从 NAS 到 用 户 的 平均 速率 ,以 bps 为 单位 
Output-Basic-Rate 6 |Integer W NAS I ET E Abp DEE GETAR 
前 没有 意义 ,建议 不 要 使 用 ) 
EXEC 用 户 优先 级 。 
对 于 EXEC 用 户 , 用 户 的 优先 级 。 用 来 设置 EXEC 用 户 
Exec-Privilege 29 | Integer 的 优先 级 。RADIUS 服务 器 在 认证 接收 报 文 中 ,可 以 用 
属性 Exec_Privilege 携带 EXEC 用 户 的 优先 级 。 该 属性 
是 针对 管理 用 户 的 设置 


参照 RFC 定义 ,用 作 VPDN 组 号 。 

说 明 : 为 了 与 以 前 设备 实现 的 方式 兼容 ,该 属性 取 值 为 
[1-4094] 下 发 给 设备 的 值 的 类 型 为 Integer, 其 他 值 的 类 
型 为 String 

Tunnel-Assignment-ID 82 |Integer 参照 RFC 定义 

访问 控制 列表 的 名 字 。 不 同 产品 实现 定义 不 同 。 建 议 
客户 端 不 要 对 RADIUS 服务 器 上 定义 的 Filter-Id 的 名 
字 做 限制 ,具体 的 规则 在 客户 端 上 进行 配置 

MA5200: ACLGroup@InterGroup, 其 中 ACLGroup 可 
以 是 ACL 组 号 ,也 可 以 为 是 ACL 组 名 ; InterGroup 及 
既 可 以 是 InterGroup 组 号 , 也 可 以 是 InterGroup 组 名 。 
如 果 带 有 多 个 Filter-ID, 则 只 有 最 后 一 个 Filter-ID 起 作 
用 ,因此 建议 只 带 一 个 Filter-ID 


Tunnel-Private-Group-ID| 81 | Integer 


String (协议 中 规 
FilterID 11 | 定 此 属性 类 型 为 
Text) 


(10) 查看 认证 失败 或 下 线 原因 
Radius 服务 器 都 会 有 对 应 的 日 志 记 录用 户 认证 失败 或 下 线 的 原因 。 常 见 的 下 线 原因 ,可 
以 参考 下 面 的 说 明 。 


Acct-Terminate-Cause User-Request li 
# 这 种 情况 ,属于 用 户 请 求 下 线 ,一 般 为 客户 端 主动 下 线 ,需要 检查 客户 端 。 
Acct-Terminate-Cause Lost-Carrier 2 


# 这 种 情况 一 般 为 客户 端 与 设备 间 握 手 报 文 丢 失 导 致 ,因为 H3C 设备 的 握手 功能 是 私有 
的 ,在 跟 第 三 方 客户 端 配 合 时 ,需要 关闭 握手 。 

关闭 握手 的 命令 为 : undo dotlx handshake 

例如 : 关闭 端口 G1/0/10 下 的 dotlx 握手 功能 。 
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[H3C]int g1/0/10 
[H3C-GigabitEthernet1/0/10]undo dot1x handshake 


Acct-Terminate-Cause Idle-Timeout 4 
# 这 种 情况 为 闲置 超时 下 线 。 
Acct-Terminate-Cause Session-Timeout 5 


# 这 种 情况 为 会 话 超时 ,一 般 为 计 费 不 足 或 者 进行 了 时 间 段 限制 。 


— A++t-W $z $ 


-==》 表示 上 一步 结果 出 更 问题 


* 
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* 
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03 交换 技术 3.6.2 TACACS 故障 排查 步骤 详解 


1. 开始 

TACACS 协议 是 基于 C/S 架构 承载 于 TCP 之 上 ,客户 端 和 服务 器 都 要 排查 。 所 以 定位 
故障 的 思路 是 分 别 检查 作为 TACACS 客户 端的 设备 侧 和 TACACS 服务 器 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 用 户 是 否 在 线 

在 设备 上 查看 用 户 是 否 在 线 。 


MA: display connection 


display connection ucibindex ucibindex-number 
例如 : 通过 命令 查看 admin 用 户 已 经 在 线 , 其 用 户 索引 为 134 后 面 跟 ucibindex 参数 及 对 
应 用 户 的 索引 134 可 查看 对 应 在 线 用 户 admin 的 详细 信息 。 


<H3C>display connection 

Slot: 1 

Index=134 , Username= admin@system 
IP=10.153.47.44 
IPv6=N/A 

<H3C>display connection ucibindex 134 

Slot: 1 

Index=134 , Username=admin@system 

IP=10.153.47.44 

IPv6=N/A 

Access 一 Admin ,AuthMethod=PAP 

Port Type= Virtual ,Port Name=N/A 

Initial VLAN=N/A, Authorization VLAN=N/A 

ACL Group= Disable 

User Profile=N/A 

CAR= Disable 

Priority = Disable 

SessionTimeout=N/A, Terminate-Action= N/A 

Start= 2013-05-06 14:08:43 ,Current=2013-05-06 14:50:47 ,Online=00h42m04s 
Total 1 connection matched. 


(2) 检查 用 户 名 密码 

检查 输入 的 用 户 名 密码 是 否 正 确 。 

(3) 检查 设备 与 TACACS Server 是 否 互通 

确保 设备 与 TACACS Server 之 间 IP 和 端口 可 达 。 

(4) 检查 Key 与 TACACS Server 是 否 一 致 

查看 设备 侧 配置 的 TACACS Key 和 TACACS Server 侧 配置 的 Key 是 否 一 致 。 

命令 : display this 

例如 : 通过 命令 查看 Key 配置 ,这 里 配置 的 Key 是 h3c, 在 server 侧 也 要 配置 一 样 
的 Key。 


[H3C] hwtacacs scheme Tacacs 
[H3C-hwtacacs-acs ] display this 
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primary authentication 1.1.1.1 
primary authorization 1.1.1.1 
primary accounting 1.1.1.1 

key authentication h3c 

key authorization h3c 

key accounting h3c 
user-name-format without-domain 


(5) 检查 Domain 域 配 置 是 否 正确 

H3C 设备 默认 的 domain 域 是 system, 如 果 不 指定 域 后 级 ,用 户 认证 的 时 候 都 会 到 默认 的 
system 域 去 认证 ,要 检查 默认 域 是 否 配置 为 用 户 的 认证 域 , 另 外 不 管 是 否 存在 计 费 和 授权 ,在 
domain 下 都 要 同时 指定 认证 ,授权 、 计 费 的 hwtacacs-scheme, 和 否则 默认 都 走 本 地 容易 导致 认 
证 失败 。 

命令 : domain default enable 

例如 : 查看 配置 中 认证 ,授权 、 计 费 的 引用 的 TACACS Scheme 是 Tacacs ,并 配置 用 户 认 
证 域 H3C 为 默认 的 domain, 


[H3C]domainH3C 

[H3C-isp-H3C]display this 

domainH3C 
authentication login hwtacacs-scheme Tacacs 
authorization login hwtacacs-scheme Tacacs 
accounting login hwtacacs-scheme Tacacs 
access-limit disable 
state active 
idle-cut disable 
self-service-url disable 


[H3C] domain default enable H3C 


(6) 检查 是 否 配置 命令 行 记 账 与 授权 
如 果 要 对 用 户 进行 命令 行 授权 和 记 账 则 需要 在 vty 接口 下 添加 相应 配置 。 
命令 : command authorization 


command accounting 


例如 : 对 user-interface vty 0 一 4 配置 命令 行 授权 与 记 账 功能 。 


[H3C] user-interface vty 0 4 
authentication-mode scheme 
command authorization 
command accounting 
idle-timeout 120 0 
screen-length 30 


(7) 检查 NAS-IP 配置 是 否 正确 

NAS-IP 是 设备 和 服务 器 进行 通信 的 IP 地 址 ,服务 器 会 对 NAS-IP 进行 检查 确定 是 否 是 
合法 的 NAS 设备 。 要 检查 TACACS 服务 器 侧 是 否 配 置 了 NAS-IP 以 及 配置 的 NAS-IP 是 否 
与 设备 侧 指定 的 NAS-IP 一 致 。 

(8) 检查 TACACS 进程 是 否 正常 启动 

查看 服务 器 侧 TACACS 进程 是 否 正常 启动 ,是 否 存 在 应 用 端口 号 被 占用 的 情况 。 
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TACACS 默认 使 用 的 认证 ,授权 、 计 费 端口 号 都 是 TCP 49, 
(9) 检查 是 否 配 置 命 令 行 授权 
检查 命令 行 授权 配置 格式 是 否 正 确 。 
(10) 检查 用 户 是 否 有 远程 认证 的 权限 
确认 在 服务 器 上 已 经 建立 了 相应 的 认证 用 户 ,并 且 赋予 了 用 户 远程 认证 权限 。 


License 能 在 
E Mè 


ARAN Ak 
文件 是 否 正确 


重新 上 佳 或 
申请 激活 文件 


y 志 志 上 一 步 结 4r 
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E 4.1.1 MSR G2 设备 License 
04 路 由 器 产品 4.1 高 端 产 品 异常 故障 排查 步骤 详解 


1. 开始 

MSR G2 系列 路 由 器 是 搭载 了 H3C 自主 研发 的 Comware V7 平台 的 新 一 代 开 放 多 业务 
路 由 器 产品 ,其 启动 文件 可 以 分 为 基本 软件 包 和 特性 软件 包 。 若 用 户 只 有 一 些 基 本 的 业务 需 
求 , 则 设备 仅 需 要 加 载 基 本 软件 包 即 可 ; 但 若 客户 需要 使 用 一 些 高 级 特性 ,例如 MPLS、 请 音 
等 , 则 需要 购买 对 应 的 软件 授权 函 ,成 功 激活 后 才 可 以 在 设备 上 加 载 特性 软件 包 , 满 足 客户 的 

MSR G2 路 由 器 的 License 和 设备 一 一 对 应 ,设备 License 异常 的 定位 故障 的 思路 是 : 首 
先 确认 License 能 否 正常 激活 ,查看 激活 文件 是 否 正确 ,再 看 当前 License 的 使 用 状态 是 否 正 
常 ,最 后 判断 特性 软件 包 蚌 否 已 经 正常 加 载 。 

2. 流程 图 相关 操作 说 明 

Q) License 能 否 正 常 激活 

客户 使 用 软件 授权 函 在 官网 完成 License 的 激活 之 后 会 获得 一 个 扩展 名 为 ak 的 激活 文 
件 。 建 议 使 用 TFTP 将 激活 文件 上 传 到 设备 上 ,然后 执行 命令 进行 License 激活 操作 。 

正常 情况 下 ,License 可 以 被 激活 。 但 是 如 果 激 活 文件 有 问题 ,就 无 法 完成 激活 操作 。 

命令 : license activation-file install file-name 

例如 : 使 用 激活 文件 激活 License 时 ,正常 情况 下 会 激活 并 成 功 安装 特性 软件 包 ; 若 激活 
文件 有 问题 , 则 会 提示 激活 失败 。 

[H3C]license activation-file install 210231A1UYB13300003220130533000.ak 

[H3C] % May 31 15:07:54:394 2014 H3C PKG/5/PKG: Installing package cfa0 : /msr56-cmw710-data- 


R0106. bin on slot 0... 
% May 31 15:07:57:098 2014 H3C PKG/5/PKG: cfa0: /msr56-cmw710-data-R0106. bin installed on slot 0. 


[H3C] license activation-file install cfa0 : /210235 A0W8B1380003280404190.ak 
Failed to install the activation file. 


(2) 确认 激活 文件 是 否 正确 

在 使 用 扩展 名 为 ak 的 激活 文件 执行 激活 操作 时 , 若 无 法 正常 激活 License 就 一 定 是 激活 
文件 有 问题 。 

激活 文件 异常 只 有 两 种 可 能 : 激活 文件 注册 有 误 或 激活 文件 被 损坏 。 

在 客户 购买 设备 较 多 时 ,每 台 设备 分 别 注册 激活 文件 ,可 能 会 将 一 台 设 备 的 SN 和 另 一 台 
设备 的 DID 混在 一 起 注册 激活 文件 ,就 导致 了 文件 注册 时 出 错 。 由 于 MSR G2 设备 的 激活 文 
件 和 设备 一 一 对 应 ,必须 是 同一 台 设 备 的 SN 和 DID 注册 生成 的 激活 文件 , 才 可 以 用 于 激活 该 
设备 的 特性 软件 包 。 可 以 通过 命令 查看 激活 文件 中 的 设备 信息 是 否 和 注册 的 设备 一 致 , 若 信 
息 有 误 , 需 进行 License 的 解 绑 定 操作 , 解 绑 之 后 再 重新 注册 。 

激活 文件 损坏 ,可 能 是 传输 异常 或 人 为 操作 导致 的 。 

Comware V7 平台 是 基于 Linux 内 核 的 系统 ,由 于 Windows 和 Linux 系统 ASC ll 编码 方 
式 对 字符 的 定义 有 差别 ,在 使 用 FTP 的 ASC ll 模式 向 MSR G2 路 由 器 传输 文件 时 ,会 导致 文 
件 的 内 容 损 坏 。 建 议 使 用 TFTP 进行 文件 传输 ,也 可 以 使 用 FTP 的 二 进 制 模式 传输 文件 。 
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License 激活 文件 必须 是 H3C 官网 下 发 的 扩展 名 为 ak 的 原文 件 , 若 用 户 对 激活 文件 的 内 
容 进 行 过 编辑 ,也 会 导致 激活 文件 不 可 用 。 
命令 : more file-url 
display license device-id 
license activation-file uninstall file-name 
例如 : 可 以 通过 more 命令 查看 激活 文件 的 内 容 , 若 其 中 的 设备 信息 与 display license 
device-id 显示 的 不 完全 一 致 , 则 需要 进行 激活 文件 的 解 绑 定 操作 。 


< H3C> more 210235A0W3B1330000972013042408525130572. ak 


=u License 人 


Type : 00010002 
SN : 210235A0W8B138000507 
Device ID : Fnk@- # EEN-vCkK-Sg/Q-7% XW-MvCL-djfJJ-ThSH 


=H3C> display license device-id 
SN:210235A0W8B138000507 

Device ID: Z:SL-AG%k-7cbC-Y6Tp-9sxW-wEc:-3mRd-a3 $ 8 
[H3C]license activation-file uninstall20142394823.ak 
Uninstall file: flash: /license/20142394823.uak 


(3) 重新 上 传 或 申请 激活 文件 

若是 由 于 客户 上 传 了 编辑 过 的 激活 文件 或 是 使 用 FTP 的 ASCI 模 式 传输 的 激活 文件 ， 
导致 激活 文件 错误 而 无 法 激活 ,此 时 只 需要 保证 使 用 H3C 官网 下 发 的 原文 件 , 并 使 用 TFTP 
再 次 上 传 文件 , 即 可 正常 的 完成 激活 操作 。 

若是 激活 文件 注册 有 误 , 则 必须 进行 License 的 解 绑 定 操作 , 解 绑 之 后 在 官网 进行 从 新 注 
册 。License 的 解 绑 定 需 由 H3C 的 工程 师 提交 工作 联络 单 来 完成 ,客户 需要 说 明 解 除 绑 定 的 
原因 ,提供 激活 成 功 的 文件 ,授权 序列 号 、 最 终 用 户 单位 名 称 、 条 码 等 信息 。 

MS: tftp tftp-server get source-filename 

license activation-file install file-name 

例如 : 使 用 TFTP 上 传 扩展 名 为 ak 的 激活 文件 ,完成 License 的 激活 操作 ,并 成 功 加载 特 

性 软件 包 。 


<H3C>tftp 1.1.1.2 get 210231A1UYB1330000322013053114203000.ak 
% Total % Received % Xferd Average Speed Time Time Time Current 
Dload Upload Total Spent Left Speed 
100 2296 100 2296 0 0 25421 0 0k 
[H3C] license activation-file install 210231A1UYB1330000322013053114203000.ak 
[H3C] % May 31 15:07 :54:394 2014 H3C PKG/5/PKG: Installing package cfa0:/msr56-cmw710-data-| 
R0106. bin on slot 0... 
%May 31 15:07:57:098 2014 H3C PKG/5/PKG: cfa0:/msr56-cmw710-data-R0106. bin installed on slot| 
0. 


(4) 查看 当前 License 是 否 In use 状态 

若 设备 的 License 能 够 正常 激活 ,那么 License 的 使 用 状态 应 该 是 In use, 只 有 这 种 状态 
下 特性 软件 包 才 会 被 加 载 。 

MA: display license 
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例如 : 查看 当前 设备 上 的 License 状态 ,In use 是 正常 状态 。 


<H3C>display license 

cfa0 :/license/210235A0WAA1290000012012102412349234836. ak 
Feature: pkg_license 

Product Description: H3C MSR36 Data Software License 
Registered at: 2013-05-09 08:41:12 

License Type: Permanent Current State: In use 


(5) License 状态 显示 Uninstalled 或 Expired 

H FERR Fi 3-3JJ HI 32R 2 Ji, License 的 当前 状态 就 会 显示 为 Uninstalled 。 

MSR G2 路 由 器 的 License ZSAE BÉ T HIAR. A ARZ Ji AE YC FB K uk. ARJA DU 
激活 文件 在 该 设备 上 再 安装 时 ,会 提示 该 文件 已 被 卸载 *The activation file has been 
uninstalled. ”。 必 须 进行 解 绑 定 操作 后 , 才 可 以 在 官网 重新 进行 注册 。 

印 载 设 备 上 的 激活 文件 后 ,会 生成 一 个 uninstall Key 用 于 解 绑 定 。License 的 解 绑 定 需 
由 H3C 的 工程 师 提 交工 作 联络 单 来 完成 ,客户 需要 说 明 解除 绑 定 的 原因 ,提供 激活 成 功 的 文 
件 、 授 权 序列 号 .最终 用 户 单位 名 称 、. 条 码 等 信息 。 

在 一 些 特殊 的 场景 下 ,客户 可 能 会 使 用 试用 版 的 License。 试 用 版 的 License 都 有 一 定 的 
使 用 期 限 ,在 试用 版 的 激活 文件 到 期 后 ,License 的 当前 状态 就 会 显示 为 超期 Expired。 显 示 超 
期 的 激活 文件 将 不 会 生效 ,无 法 正常 地 加 载 对 应 的 特性 软件 包 。 超 期 后 的 试用 版 激活 文件 将 
作废 ,无 法 解 绑 定 也 不 可 能 再 给 任何 设备 使 用 。 

若 一 台 设备 上 有 多 个 针对 某 一 软件 特性 包 的 激活 文件 ,只 要 其 中 有 一 个 处 于 In use 的 状 
# ,该 特性 软件 包 就 会 被 加 载 ,其 余 已 卸载 或 超期 的 激活 文件 对 软件 包 的 正常 加 载 没 有 任何 
影响 。 

MA: display license 

例如 : 查看 当前 设备 上 的 License 状态 ,已 印 载 和 超期 的 License 均 无 效 。 只 有 License 
类 型 为 Trial( 试 用 版 ) 的 才 可 能 超期 。 
<H3C>display license 
cfa0 : /license/210235 A0W8B13B0004042014012213204451968. ak 
Feature: pkg_license 
Product Description: H3C MSR 36 Data Software License 
Registered at: 2014-01-22 13:45:00 
License Type: Permanent 
Current State: Uninstalled 


Uninstall Key: /y%j-/J>+-Uzer-pAhC-JY8T-H5Ev-GN@d-yUQy 
Uninstall Date: 2014-01-22 13:45:46 


cfa0 :/license/210235A0WAA1290000012012102416054637474. ak 
Feature: pkg_license 

Product Description: H3C MSR36 Voice Software License 
Registered at: 2013-10-22 08:41:12 

License Type: Trial (date restricted) 

Trial Validity Period: 2013-10-22 to 2013-12-21 

Current State: Expired 


(6) 查看 特性 软件 包 是 否 加 载 
在 设备 被 格式 化 后 ,通过 命令 display license 查看 到 的 License 状态 同样 会 是 In use。 但 


222 根 叔 的 云图 一 一 网 络 故障 大 排查 


是 在 “display license” 下 的 “Feature” 和 “Product Description” 项 中 不 会 有 描述 信息 ,显示 为 
“-”, 说 明 License 表 项 对 应 的 文件 已 丢失 或 者 损坏 。 

这 是 因为 设备 中 存储 的 扩展 名 为 . ak 的 激活 文件 实际 已 经 不 存在 了 ,当前 状态 中 显示 的 
“使 用 中 ”信息 其 实 也 只 是 假象 。 由 于 激活 文件 的 缺失 ,License 实际 是 未 激活 的 状态 ,特性 软 
件 包 自 然 也 不 可 能 被 加 载 。 此 时 需要 工程 师 将 之 前 保存 的 对 应 该 设备 的 激活 文件 重新 上 传 到 
设备 上 ,并 将 文件 copy 到 设备 的 License 文件 夹 内 ,文件 名 必须 和 “display license” 中 显示 的 
名 字 完 全 一 致 ,之 后 设备 可 以 自动 识别 文件 ,完成 激活 文件 的 加 载 。 

但 是 由 于 此 过 程 并 非 执行 了 安装 激活 文件 的 操作 ,因此 特性 软件 包 无 法 一 起 加 载 ,需要 由 
工程 师 手动 来 加 载 软件 包 ,其 操作 过 程 详 见 步骤 (7)。 

另外 ,在 很 偶然 的 情况 下 ,也 可 能 会 出 现 扩展 名 为 ak 的 激活 文件 已 经 被 成 功 注册 到 设备 
上 ,并 且 使 用 状态 显示 为 In use, 但 是 相应 的 特性 软件 包 却 并 没有 被 正常 加 载 。 这 时 也 需要 工 
程 师 来 手动 完成 加 载 相应 特性 软件 包 的 工作 。 

命令 : display license 

displayinstall active 

例如 : 通过 命令 查看 设备 当前 License 的 使 用 状态 为 In use, 但 只 加 载 了 基本 软件 包 , 未 
加 载 对 应 的 数据 版 特性 软件 包 。 
<H3C>display license 
cfa0 : /license/210235A0WAA1290000012012102412349234836. ak 
Feature: pkg_license 
Product Description: H3C MSR36 Data Software License 
Registered at: 2013-05-09 08:41:12 
License Type: Permanent 
Current State: In use 
<H3C>display install active 
Active packages on the device: 


cfa0 :/msr36-cmw710-boot-r0106. bin 
cfa0 :/msr36-cmw710-system-r0106. bin 


(7) 手动 加 载 软件 包 
在 License 状态 显示 为 In use, 但 是 对 应 的 特性 软件 包 并 未 加 载 的 情况 下 ,需要 工程 师 手 
动 完成 软件 包 的 加 载 工作 。 
首先 通过 install 命令 手动 加 载 特性 软件 包 , 然 后 return, quit 退出 命令 行 , 之 后 再 次 通过 
命令 行 登录 设备 时 ,特性 软件 包 就 会 被 加 载 ,其 中 支持 的 特性 已 经 可 以 正常 使 用 。 最 后 切记 要 
执行 install commit 命令 ,确认 此 次 的 安装 操作 。 只 有 这 样 , 在 设备 重启 之 后 , 仍 会 继续 加 载 
此 次 手动 安装 的 特性 软件 包 。 
命令 : install activate feature file-name 
display install active 
install commit 


例如 : 手动 加 载 特性 软件 包 , 并 查看 该 软件 包 已 被 正常 安装 ,之 后 确认 此 次 安装 操作 。 


=H3C> install activate feature cfa0 : /msr36-cmw710-data-R0106.bin 
Upgrade summary according to following table: 

cfa0 : /msr36-cmw710-data-R0106. bin 

Running Version New Version 
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NoneRelease 0106 

Upgrade Way: Service Upgrade 

Upgrading software images to compatible versions. Continue? [Y/N] :y 
This operation maybe take several minutes, please wait. Done. 
<H3C>display install active 

Active packages on the device: 

cfa0 : /msr36-cmw710-boot-R0106. bin 

cfa0 : /msr36-cmw710-system-R0106. bin 

cfa0 : /msr36-cmw710-data-R0106.bin 

<H3C> install commit 
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1. 开始 


端 产品 4.1.2 MSR 风扇 故障 排查 步骤 详解 


风扇 是 设备 的 重要 组 成 部 分 ,对 于 设备 的 正常 工作 起 着 不 可 或 缺 的 作用 。 风 扇 转 速 由 主 
控 板 控制 ,转速 的 调整 范围 在 50% 一 100% 之 间 。 风 扇 控 制 器 设置 了 低温 门限 和 高 温 门 限 两 
个 参数 ,高 温 门限 对 应 100%% 的 风扇 转速 ,低温 门限 对 应 50% 的 风扇 转速 。 风 扇 停 转 时 可 以 发 
出 停 转告 警 信号 ,任意 一 路 风扇 告警 均 能 响应 。MSR 出 现 风扇 故障 ,如 果 所 处 环境 散热 不 好 ， 
可 能 会 出 现 设备 由 于 温度 过 高 导致 运行 异常 的 情况 。MSR 风扇 故障 排 错 的 定位 思路 是 : 查 
看 风扇 状态 ,查看 log 中 风扇 告警 情况 ,检查 设备 版 本 ,检查 风扇 有 无 异 响 , 检 查 出 风口 有 无 


异常 。 
2. 流程 图 相关 操作 说 明 
(1) 检查 风扇 状态 
首先 检查 风扇 的 当前 状态 。 
MS: display fan 
例如 : 通过 命令 检查 设备 风扇 的 状态 。 
MSR V5 设备 : 


[H3C]display fan 
Fan 1 State: Normal 


MSR V7 设备 : 


[H3C]display fan 
Index Status Speedlevel 


在 设备 风扇 正常 的 情况 下 ,风扇 的 state 或 者 status 应 为 Normal, 当 出 现 异 常 的 时 候 ,可 


能 会 出 现 abnormal 或 者 absent 状态 。 


然后 可 通过 直观 观察 风扇 指示 灯 的 闪 亮 情况 ,来 判定 风扇 状态 。 正 常情 况 风扇 指示 灯 应 


该 为 常 绿 ,不 同 风扇 运行 情况 ,指示 灯 的 状态 如 表 4-1 所 示 。 
表 4-1 指示 灯 状 态 


x 风扇 不 在 位 
FAN 常 绿 正常 工作 
黄色 风扇 故障 


(2) 风扇 物理 状态 检查 
直观 地 观察 风扇 是 否 在 位 ,通过 插 拔 风扇 .测试 风扇 是 否 接触 正常 。 
(3) 检查 log 风扇 告警 情况 


有 些 风扇 问题 ,可 能 会 出 现时 好 时 坏 的 情况 ,这 时 候 在 log 信息 中 会 有 记录 ,检查 风扇 的 


log 告警 信息 。 
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MA: display logbuffer 
例如 : MSR V5 设备 ,通过 该 命令 检查 设备 风扇 的 告警 信息 , 当 风扇 不 在 位 时 ,告警 
如 下 。 


[H3C] display logbuffer 

Logging buffer configuration and contents: enabled 
Allowed max buffer size : 1024 

Actual buffer size : 512 

Channel number : 4 , Channel name : logbuffer 
Dropped messages : 0 

Overwritten messages : 0 

Current messages : 15 


% Nov 24 15:53:26:950 2014 H3C SHELL/6/SHELL_CMD: -Task= co0-IPAddr= ** -User 一 ** ; 
Command is display fan 
% Nov 24 15:53:34:220 2014 H3C DEVM/3/FAN_ABSENT: Fan 1 is absent. 


另外 在 MSR V5 设备 上 还 可 以 查看 风扇 trap 告警 信息 。 

命令 : display trapbuffer 

例如 : 当 风 扇 异常 时 ,通过 该 命令 检查 风扇 trap 告警 ,可 以 看 到 风扇 状态 变 为 失败 的 trap 
信息 。 


[H3C] display trapbuffer 

Trapping buffer configuration and contents:enabled 
Allowed max buffer size : 1024 

Actual buffer size : 256 

Channel number : 3 ，channel name : trapbuffer 
Dropped messages : 0 

Overwritten messages : 0 

Current messages : 9 


# Nov 24 15:52:34:343 2014 H3C SHELL/4/LOGIN: 
Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1<hh3cLogln> : login from Console 


# Nov 24 15:53:34:220 2014 H3C DEVM/1/FAN STATE CHANGES TO FAILURE: 
Trap 1.3.6.1.4.1.25506.8.35.12.1.6 一 hh3cfanfailure 之 : fan ID is 1 


当 设 备 为 V7 设备 时 ,可 以 通过 如 下 命令 查看 风扇 告警 信息 。 
命令 : display logbuffer 
例如 : 当 风 扇 异 常 时 ,利用 该 命令 查看 log 中 风扇 信息 ,会 有 *Fan 1 failed” 告 警 信息 。 


[H3C] display logbuffer 
Log buffer: Enabled 
Max buffer size: 1024 
Actual buffer size: 512 
Dropped messages: 0 
Overwritten messages: 0 
Current messages: 11 


% Oct 23 18:52:47 :372 2013 BY0300-HR3610-A IFNET/3/PHY_UPDOWN: Aux0 link status is up. 
%Oct 23 18:54:07:113 2013 BY0300-HR3610-A DEV/2/FAN_FAILED: Fan 1 failed. 
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(4) 检查 设备 版 本 
当 设 备 较 陈旧 时 ,可 能 会 出 现 误 检 的 情况 ,此 时 建议 升级 一 下 设备 版 本 再 进行 观察 。 


查看 设备 版 本 。 
MS: display version 


例如 : MSR56 双 主 控 , 在 R0106P11 之 前 版 本 , 当 热 插 拔 主 用 主 控 的 时 候 ,会 导致 风扇 信 
息 同步 失败 而 出 现 误 检 的 情况 ,查看 版 本 信息 如 下 。 


[H3C] display version 

H3C Comware Software, Version 7. 1.049, ESS 0104 

Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 
H3C MSR56-60 uptime is 16 weeks, 2 days, 21 hours, 29 minutes 

Last reboot reason : Power on 


(5) 检查 风扇 有 无 异 响 
可 以 直观 地 通过 观察 风扇 扇 叶 有 无 转动 ,是 否 处 于 无 障碍 运行 状态 ,然后 可 以 用 手 放 置 到 


风扇 处 ,用 手感 知 有 没有 风 ,正常 情况 下 ,可 以 看 到 风扇 转动 ,用 手 可 以 感知 到 风 。 


(6) 检查 设备 出 风口 有 无 异物 
可 通过 直接 观察 风扇 出 风口 有 无 障碍 物 异 物 阻挡 ,如 果 有 则 建议 清理 。 
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04 路 由 器 产品 端 产品 4.1.3 PPPoE client 故障 排查 步骤 详解 
1. 开始 


PPPoE(Point-to-Point Protocol over Ethernet, 在 以 太 网 上 承载 PPP 协议 ) 的 提出 ,解决 
了 PPP 无 法 应 用 于 以 太 网 的 问题 ,是 对 PPP 的 扩展 。PPPoE 将 PPP 报 文 封装 在 以 太 网 帧 之 
内 ,在 以 太 网 上 提供 点 对 点 的 连接 。PPPoE 可 以 通过 一 个 远 端 接 入 设备 为 以 太 网 上 的 主机 提 
供 互联 网 接 人 服务 ,并 对 接 和 人 的 每 个 主机 实现 控制 . 计 费 功能 。 

PPPoE 定位 故障 的 思路 是 : 先 查 看 配置 是 否 正确 ,之 后 根据 协商 阶段 查看 Discovery 发 
现 阶段 与 Session 会 话 阶段 报 文 交 互 过 程 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 PPPoE 配置 

检查 配置 应 关注 , 感 兴趣 流 是 否 匹配 可 以 触发 拨号 ,以 太 网 口 与 Dialer 拨号 口 是 否 进行 关 
IK, PPP 验证 与 IP 地 址 分 配 是 否 正确 。 

MA: display current-configuration 


例如 : 在 设备 上 通过 display current-configuration 查看 配置 是 否 正 确 。 


[H3C]display current-configuration 


# 
interface Dialer1 // 创 建 拨号 口 
link-protocol ppp 
ppp pap local-user 123 password simple 123 // 配 置 PPP 认证 用 户 名 与 密码 


ip address ppp-negotiate // 配 置 IP 地 址 

dialer user 123 // 配 置 拨号 用 户 名 
dialer-group 1 // 配 置 拨号 组 与 触发 条 件 绑 定 
dialer bundle 1 // 配 置 Dialer bundle 

# 


interface Ethernet0/0 
port link-mode route 


pppoe-client dial-bundle-number 1 // 建 议 PPPoE 会 话 ,并 且 指 定 该 会 话 所 对 应 的 Dialer bundle| 
# 
dialer-rule 1 ip permit // 配 置 触发 条 件 

# 


(2) 查看 PPPoE 协商 阶段 状态 

查看 PPPoE 协商 阶段 是 否 完成 ,正常 状态 下 State 应 该 为 PPPUP 状态 ,PPPUP 状态 为 
session 阶段 PPP 协商 已 经 通过 ,可 以 传输 网 络 数据 ,如 果 为 IDLE 则 为 空闲 状态 ,没有 开始 
PPPoE 呼叫 ,PADI 则 为 发 出 Padi 报 文 等 待 Pado 报 文 ,PADR 则 为 发 出 Padr 报 文 等 待 Pads 
报 文 ,PPPNEG 则 为 开始 session 阶段 的 PPP 协商 ,如 果 会 话 状 态 不 是 PPPUP, 则 需要 通过 
debugging pppoe-client all 命令 检查 报 文 交 互信 息 。 

MS: display pppoe-client session summary 


例如 : 通过 命令 查看 pppoe-client 会 话 状态 为 PPPUP。 


<H3C>display pppoe-client session summary 
PPPoE Client Session: 
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ID Bundle Dialer Intf RemMAC LocMAC State 
rl J il Eth0/0 0023892fa780 5866ba830f70 PPPUP 


(3) 查看 PPPoE 发 现 阶 段 交互 流程 

PPPoE 建立 过 程 分 为 两 个 阶段 : 发 现 阶段 (PPPoE Discovery Stage) 和 会 话 阶 段 (PPPoE 
Session Stage) ,发 现 阶段 获得 对 端的 以 太 网 MAC 地 址 并 确定 一 个 PPPoE SESSION _ID。 

@ PADI 用 于 PPPoE client 发 现 PPPoE 集中 服务 器 ,在 VLAN 内 广播 。 

@ PADO 用 于 集中 服务 器 响应 收 到 的 PADI 报 文 ,声明 自己 能 为 PPPoE client 提供 
服务 。 

@ PADR 用 于 PPPoE client 向 特定 的 PPPOE 集中 服务 器 申请 PPPoE 服务 。 

@ PADS 用 于 集中 服务 器 响应 收 到 的 PADR 报 文 ,并 为 此 PPP 会 话 分 配 资源 。 

© PADT 用 于 终止 PPPoE 会 话 。 

可 通过 debugging pppoe-client all interfacetype interface-number 命令 查看 报 文 交互 
过 程 。 

命令 : debugging pppoe-client all 

例如 : 查看 Ethernet 0/0 接口 对 应 的 Discovery 阶段 报 文 交互 过 程 如 下 。 


x*Jan 2 06:19:04:267 2007 client PPPOEC/7/debugging: Ethernet0/0: PPPoE clientout discovery| 
packet (PADI), Len = 30 


*Jan 2 06:19:04:270 2007 client PPPOEC/7/debugging: Ethernet0/0: PPPoE clientin discovery] 
packet (PADO), Len = 60 


x*Jan 2 06:19:04:270 2007 client PPPOEC/7/debugging: Ethernet0/0: PPPoE clientout discovery] 
packet (PADR), Len = 52 


*Jan 2 06:19:05:738 2007 client PPPOEC/7/debugging: Ethernet0/0: PPPoE clientin discovery| 
packet (PADS), Len = 60, Session ID = 1 


* Jan 206:19:05:838 2007 client PPPOEC/7/debugging: Ethernet0/0: Created Dialerl :0 for PPPoE| 
Session 


如 果 报 文 有 丢失 或 异常 ,请 检查 网 络 情况 及 PPPoE client 与 PPPoE server 协商 参数 是 否 
匹配 。 

(4) 查看 PPPoE 发 现 阶 段 交互 流程 

PPPoE 建立 过 程 分 为 两 个 阶段 : 发 现 阶 段 (PPPoE Discovery Stage) 和 会 话 阶段 (PPPoE 
Session Stage) 。 会 话 阶段 包括 : LCP K Et, Authentication 阶段 (可 选 )、NCP 阶段 (IPCP)、 
PPP 业务 阶段 (IP) ,排查 方法 可 参考 云图 PPP 模块 部 分 。 
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04 路 由 器 产品 端 产 品 4.1.4 PPPoE server 故障 排查 步骤 详解 


1. 开始 


PPPoE(Point-to-Point Protocol over Ethernet, 在 以 太 网 上 承载 PPP 协议 ) 的 提出 ,解决 
了 PPP 无 法 应 用 于 以 太 网 的 问题 ,是 对 PPP 的 扩展 。PPPoE 将 PPP 报 文 封装 在 以 太 网 帧 之 
内 ,在 以 太 网 上 提供 点 对 点 的 连接 。PPPoE 可 以 通过 一 个 远 端 接 入 设备 为 以 太 网 上 的 主机 提 
供 互联 网 接 入 服务 ,并 对 接 入 的 每 个 主机 实现 控制 、 计 费 功能 。 

PPPoE 定位 故障 的 思路 是 : 先 查 看 配置 是 否 正确 ,之 后 根据 协商 阶段 查看 Discovery 发 
现 阶段 与 Session 会 话 阶段 报 文 交互 过 程 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 PPPoE server 配置 

检查 配置 应 关注 ,VT 接口 下 PPP 认证 方式 与 用 户 名 密码 是 否 匹配 ,在 太 网 接口 上 启用 
PPPoE 协议 , 绑 定 虚拟 模板 接口 。 

MA: display current-con figuration 


例如 : 在 设备 上 通过 display current-configuration 查看 配置 是 否 正确 。 


Io 


[H3C] display current-configuration 

# 

local-user 123 //ppp 验证 用 户 名 与 密码 ,与 PPPPOE client 使 用 用 户 名 一 至 
password cipher $ c $ 3 $ pmkK8f9T7KmsLGvkXwVJs0d0WvsN4Q== 
service-type ppp 

# 

interface Ethernet0/0 
port link-mode route 


pppoe-server bind Virtual-Template 1 // 在 以 太 网 接口 上 启用 PPPE 协议 ,将 该 以 太 网 接口 与 指定 


// 的 虚拟 模板 接口 绑 定 
# 
interface Virtual-Template1 
ppp authentication-modepap // 认 证 方式 为 PAP 
remote address 1.1.1.2 // 给 client 分 配 地 址 1.1.1.2 
ip address 1.1.1.1 255.0.0.0 // 网 关 地 址 
# 


(2) 查看 PPPoE 发 现 阶段 交互 流程 

PPPoE 建立 过 程 分 为 两 个 阶段 : 发 现 阶段 (PPPoE Discovery Stage) 和 会 话 阶段 (PPPoE 
Session Stage) 。 发 现 阶段 获得 对 端的 以 太 网 MAC 地 址 并 确定 一 个 PPPoE SESSION_ID。 

@ PADI 用 于 PPPoE client 发 现 PPPoE 集中 服务 器 ,在 VLAN 内 广播 。 

© PADO 用 于 集中 服务 器 响应 收 到 的 PADI 报 文 ,声明 自己 能 为 PPPoE client 提供 
服务 。 

@ PADR 用 于 pppoe client 向 特定 的 PPPoE 集中 服务 器 申请 PPPoE 服务 。 

@ PADS 用 于 集中 服务 器 响应 收 到 的 PADR 报 文 ,并 为 此 PPP 会 话 分 配 资 源 。 

© PADT 用 于 终止 PPPoE 会 话 。 

可 通过 debugging pppoe-server all interface-type interface-number 命令 查看 报 文 交互 
过 程 。 
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命令 : debugging pppoe-server all interface-type interface-number 


例如 : 查看 Ethernet 0/0 接口 对 应 的 Discovery 阶段 报 文 交 互 过 程 如 下 。 


*Jan 2 07:07:56:230 2007 server PPPOE/7/debug2: 
2007-1-2 7:7:56.228: PPPoE Event: Ethernet0/0,IN PADI packet 


*Jan 207:07:56:230 2007 server PPPOE/7/debug2: 
2007-1-2 7:7:56.229: PPPoE Event: Ethernet0/0, OUT PADO packet 


*Jan 207:07:56:239 2007 server PPPOE/7/debug2: 
2007-1-2 7:7:56.231: PPPoE Event: Ethernet0/0, IN PADR packet 


*Jan 2 07:07:56:240 2007 server PPPOE/7/debug2: 
2007-1-2 7: 7: 56. 237: PPPoE Event: Ethernet0/0, session 1 (Virtual-Templatel: 0), OUT] 
PADS packet 


如 果 报 文 有 丢失 或 异常 ,请 检查 网 络 情况 及 PPPoE server 与 PPPoE client 协商 参数 是 否 
匹配 。 

(3) 查看 PPPoE 发 现 阶段 交互 流程 

PPPoE 建立 过 程 分 为 两 个 阶段 : 发 现 阶段 (PPPoE Discovery Stage) 和 会 话 阶 段 (PPPoE 
Session Stage)。 会 话 阶段 包括 : LCP 阶段 ,Authentication 阶段 (可 选 )、NCP 阶段 (IPCP)、 
PPP 业务 阶段 (IP) ,排查 方法 可 参考 云图 PPP 模块 部 分 。 
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pg ma O 4.1.5 CR16000 和 SR8800 
04 路 由 器 产品 产品 硬件 故障 排查 步骤 详解 


1. CR16000/SR8800 产品 硬件 故障 排查 

CR16000/SR8800 产品 出 现 硬件 故障 问题 ,首先 应 判断 是 哪 一 个 模块 出 现 了 故障 : 风扇 
模块 .电源 模块 或 单 板 。 

(1) CR16000/SR8800 产品 出 现 风扇 故障 问题 ,首先 应 确认 风扇 指示 灯 状 态 ,命令 行 确认 
风扇 运行 状态 .设备 是 否 打印 风扇 异常 信息 。 

如 果 风 扇 指示 灯 异 常 ,或 者 命令 行 查询 到 风扇 运行 状态 异常 ,或 者 设备 打印 风扇 异常 信息 ， 
则 需要 拔 出 风扇 框 观察 确认 是 否 有 风扇 停 转 , 插 拔 风 扇 框 并 交叉 验证 确认 故障 ,是 否 有 异物 。 

确认 故障 后 需要 收集 相关 故障 信息 反馈 400。 

如 果 风 扇 指示 灯 正 常 ,命令 行 查询 风扇 运行 状态 正常 ,同时 设备 没有 打印 风扇 异常 信息 ， 
则 说 明 风扇 运行 正常 ,如 果 还 有 疑问 ,请 拨打 400-810-0504 寻求 帮助 。 

(2) CR16000/SR8800 产品 电源 问题 的 主要 排查 思路 是 : 先 查看 电源 指示 灯 , 根 据 电 源 指 
示 灯 排查 确认 是 外 部 供电 问题 ,还 是 电源 模块 自身 的 问题 ; 如 果 电 源 指示 灯 正 常 , 但 是 命令 行 
显示 电源 状态 异常 ,或 者 设备 打印 电源 状态 异常 的 日 志 信息 ,请 直接 收集 故障 信息 反馈 400。 

(3) CR16000/SR8800 产品 出 现 单 板 无 法 注册 问题 ,首先 应 判断 是 开局 故障 ,还 是 运行 中 
出 现 的 故障 。 

如 果 是 开局 故障 , 则 需要 依次 排查 以 下 方面 。 

D 单 板 是 否 误 插 和 单 板 是 否 插 紧 。 

© 单 板 与 设备 运行 的 软件 版 本 是 否 配套 ,如 果 是 备用 主 控 板 ,其 版 本 是 否 和 主 用 主 控 板 


一 致 。 
O 设备 系统 模式 设置 是 否 正确 和 系统 电源 功率 是 否 满足 要 求 。 
@ 最 后 使 用 交叉 验证 的 方式 初步 判定 是 否 存 在 硬件 故障 。 
如 果 是 运行 中 出 现 故 障 ,请 直接 收集 故障 信息 并 联系 400。 
2. 流程 图 相关 操作 说 明 
(1) 判断 故障 模块 
从 设备 告警 信息 和 指示 灯 判 断 是 哪 一 个 模块 出 现 了 故障 : 风扇 模块 .电源 模块 和 单 板 。 
(2) 风扇 模块 
O 确认 故障 现象 。 确 认 风 扇 指示 灯 状 态 ,命令 行 确认 风扇 运行 状态 .设备 是 否 打印 风扇 
异常 信息 。 
(a) 风扇 框 指示 灯 说 明 。CR16000 风扇 框 指示 灯 说 明 如 表 4-2 所 示 。 
表 4-2 CR16000 风扇 框 指示 灯 说 明 


指示 灯 颜 色 状 态 Z x 
HK FTTTYTUU 
EEN 29 ME 风扇 框 处 于 正常 运行 状态 
HK UB 4: F iE% kE 
ALM 红色 HAE 
人 风 户 框 处 于 故障 状态 
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SR8800 风扇 框 指 示 灯 说 明 如 表 4-3 所 示 。 
表 4-3 SR8800 风扇 框 指示 灯 说 明 


指示 灯 颜 色 R 态 会 s 
灯 灭 风扇 框 出 现 故障 
RUN 绿色 === 
灯 常 亮 风扇 框 处 于 正常 运行 状态 
MX 风扇 框 处 于 正常 状态 
ALM 红色 
灯 常 亮 风扇 框 处 于 故障 状态 


(b) 命令 行 确认 风扇 运行 状态 ,Normal 表示 状态 正常 ,Fault 和 Absent 表示 状态 异常 ,或 
者 风扇 框 不 在 位 。 


CR16000 
< H3C>4isplay fan 
Fan-tray state on chassis 0: 
Fan-tray 1 state: Normal 
SR8800 
<H3C>display fan 

Fan 1 State: Normal 


(c) 设备 打印 风扇 异常 信息 如 下 。 


%Jun 26 10:12:24:805 2013 H3C DEV/3/FAN_ABSENT:Fan 1 is absent. 

%Jun 26 10:12:32:805 2013 H3C DEVD/2/DRV_DEV_FAN_ CHANGE: Fan communication state 
changed: Fan 1 changed to fault. 

%Jun 26 10:12:42:405 2013 H3C DEV/2/FAN_FAILED: Fan 1 failed. 


@ 判断 风扇 是 否 停 转 , 是 否 有 异物 。 

(a) 拔 出 风扇 框 ,( 正 常情 况 下 ,由 于 惯性 的 力量 ,风扇 框 在 刚 拔 出 来 的 时 候 , 风 扇 的 扇 叶 
还 是 会 继续 旋转 一 段 时 间 ,如 果 有 风扇 没有 在 旋转 状态 , 则 说 明 该 风扇 之 前 已 处 于 停止 转动 的 
异常 状态 ) 观 察 是 否 有 风扇 处 于 停止 状态 ,如果 有 , 则 可 以 判断 风扇 故障 ,如 果 没 有 ,请 继续 按 
照 后 续 步 又 排查 。 

(b) 拔 出 风扇 框 后 ,查看 风扇 框 内 是 否 有 异物 .如果 有 异物 ,会 导致 风扇 运行 异常 ,清除 异 
物 解 决 ; 如 果 确 认 没 有 异物 ,请 继续 按照 后 续 步 又 排查 。 

© 插入 风扇 框 确认 捅 紧 。 风 扇 框 没 有 插 紧 ,会 导致 风扇 运行 状态 异常 。 

(a) 插入 风扇 框 , 抬 起 风扇 框 插 入 机 框 风扇 框 槽 位 ,向 内 缓慢 推 人 到 底 ; 手动 将 风扇 框 面 
板 两 侧 的 松 不 脱 螺钉 导 正 后 拧 入 ,再 使 用 螺丝 刀 拧 紧 螺钉 ,以 确保 良好 固定 。 

(b) 观察 风扇 是 否 正常 运行 ,指示 灯 状 态 是 否 正常 ,命令 行 查询 风扇 运行 状态 是 否 正常 ， 
是 否 有 风扇 异常 信息 打印 ; 如 果 风 扇 运行 恢复 正常 , 则 说 明之 前 风扇 框 没 有 捅 紧 ; 如 果 故 障 
现象 仍 存在 ,请 继续 按照 后 续 步 骤 排 查 。 

@ 交叉 验证 。 交 叉 验 证 , 即 把 疑似 故障 的 风扇 框 和 正常 运行 的 风扇 框 互 换 机 框 测试 , 确 
认 故 障 是 跟着 风扇 框 走 ,还 是 跟着 机 框 走 ; 如 果 故 障 跟着 风扇 框 走 , 则 为 风扇 框 故 障 ,请 更 换 
解决 ,否则 为 机 框 故障 ,请 按照 后 续 步 又 收集 信息 并 将 排查 结果 反馈 400。 如 果 现 场 不 存在 交 
又 验证 的 条 件 ,请 按照 后 续 步 骤 收 集 信息 并 反馈 400 。 

以 上 所 有 操作 请 在 征 得 客户 同意 下 进行 ,根据 交叉 验证 的 结果 确认 故障 所 在 ,拨打 
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400-810-0504 寻求 帮助 。 

O 收集 故障 信息 。 确 认 电 源 状态 异常 .或 者 日 志 中 有 电源 异常 告警 信息 ,需要 收集 故障 
信息 ,反馈 给 400 排查 。 

故障 信息 请 收集 设备 的 诊断 信息 .日 志 信息 文件 和 diagfile 文件 。 具 体 收集 方法 如 下 。 

(a) 收集 设备 诊断 信息 。 

MS: display diagnostic-in formation 

执行 完 上 述 这 条 命令 之 后 ,请 将 在 CF 卡 根 目 录 中 生成 的 diag 文件 导出 来 保存 。 

例如 : 


< H3C>4isplay diagnostic-information 

Save or display diagnostic information (Y=save, N= display)? [Y/N] :y 
Please input the file name( * . diag) [cfa0 : / default. diag] : 

Diagnostic information is outputting to cfa0 :/default. diag. 

Please wait... 

Save successfully. 

<H3C>dir cfa0:/ 

Directory of cfa0:/ 


0 drw- - Jul 07 2013 07:16:12 logfile 
1 drw- - Jul 07 2013 07:13:04 diagfile 
2 -rw- 4924407 May 06 2013 06:43:32 default. diag 


3 drw- - May 02 2013 03:31:52 diaglog 
1021088 KB total (554020 KB free) 


File system type of cfa0: FAT32 


(b) 收集 设备 日 志 信息 文件 。 

命令 : logfile save 

执行 完 上 述 命令 后 ,将 CF 卡 的 logfile 文件 夹 中 的 logfile 文件 全 部 导出 来 保存 。 
例如 : 


<=H3C> logfile save 


Saved the log file buffer to file cfa0 :/logfile/logfile2. log successfully. 
<H3C>dir cfa0:/logfile/ 
Directory of cfa0 : /logfile/ 


0 -rw- 10484413 Dec 26 2013 08:37:00 logfilel.log 
1 -rw- 150941 Dec 14 2013 10:10:54 logfile. log 
-rw- 127193 Jan 21 2013 09:41:28 logfile2. log 
1021808 KB total (140128 KB free) 


File system type of cfa0: FAT16 


(c) 收集 设备 diagfile 信息 文件 。 

(SR8800 的 R32XX 版 本 及 之 前 版 本 ,没有 该 文件 ,无须 收集 。) 

在 系统 视图 下 输入 _hide, 进 入 到 隐 含 模式 ,执行 保存 诊断 文件 的 命令 。 
MS: _diagnose file save 


执行 完 上 述 命令 后 ,将 CF 卡 的 diaglog 文件 夹 中 的 log 文件 全 部 导出 来 保存 。 


238 根 叔 的 云图 一 一 网 络 故障 大 排查 


例如 : 


[LH3C]_hide 
Now you enter a hidden command view for developer's 


testing, some commands may 
affect operation by wrong use, please carefully use it with our engineer's 


direction. 
[H3C-hidecmd]_diagnose-file save 
Info: Diagnostic file buffer is empty. 
[H3C-hidecmd] 

<H3C>4ir cfa0 : / diaglog/ 
Directory of cfa0 : / diaglog/ 


-rw- 2418760 Jul 09 2013 01:43:16 diagfilel. log 
-rw- 69266 Dec 03 2013 09:38:36 diagfile. log 
-rw- 4291181 Dec 10 2013 12:27:48 diagfile2. log 
-rw- 292979 Jul 07 2013 07:31:52 diagfile3. log 
-rw- 5240510 Jul 08 2013 11:55:00 diagfile4. log 
-rw- 110346 Jul 07 2013 08:51:44 diagfile5. log 
-rw- 192711 Jul 09 2013 12:03:26 diagfile6. log 
-rw- 166363 Jul 09 2013 08:38:20 diagfile7. log 
-rw- 17121 Jul 08 2013 16:37:48 diagfile8. log 
-rw- 101888 Jul 07 2013 07:54:28 diagfile9. log 
-rw- 2375568 Jul 09 2013 08:06:34 diagfile10. log 


Ə — cç — G m = Q to = ° 


q 


127206 KB total (56252 KB free) 


File system type of cfa0: FAT16 


(3) 电源 模块 
O 查看 电源 监控 模块 和 电源 模块 指示 灯 状 态 。 电 源 监控 模块 和 电源 模块 指示 灯 可 直接 
反映 电源 的 运行 状态 ,排查 电源 问题 请 先 查看 电源 监控 模块 (CR16000 特有 ) 和 电源 模块 指示 
灯 状 态 , 分 别 如 表 4-4 和 表 4-5 所 示 。 
表 4-4 电源 监控 模块 指示 灯 状 态 (CR16000 特有 ) 


指示 灯 名 称 颜色 状态 合 x 
TEH 表示 电源 监控 模 医 正常 工作 

RUN 
e 绿色 MIx ERER KERIA M 


包括 但 不 限于 以 下 4 种 情况 : 
O 表示 电源 模块 有 故障 


灯 常 亮 © 电源 框 内 所 有 电源 模块 被 拔 出 
MAJOR 红色 © 电源 框 开 关 关 闭 
@ 电源 模块 在 位 ,但 未 接 人 交流 电 
TEZEK 表示 插 拔 电源 模块 
灯 灭 表示 电源 模块 正常 工作 


MINOR 黄色 灯 灭 保留 
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表 4-5 电源 模块 指示 灯 状 态 


指示 灯 名 称 颜色 状态 & x 
灯 常 亮 表示 电源 输入 正常 
电源 输入 指示 灯 绿色 HK 表示 电源 没有 输入 
ITN KE 表示 电源 输入 超过 最 大 范围 
灯 常 亮 表示 电源 模块 输出 正常 
电源 输出 指示 灯 绿色 灯 灭 表示 电源 模块 没有 输出 
灯 内 烁 表示 电源 模块 输出 过 载 
过 温 舍 敬 指示 灯 黄色 灯 常 亮 表示 电源 模块 过 温 告警 
灯 灭 表示 电源 模块 正常 工作 
志 源 故障 指示 灯 ga 灯 常 亮 表示 电源 模块 出 现 故障 
灯 灭 表示 电源 模块 正常 工作 


@ 依据 指示 灯 状 态 做 交叉 验证 。 依 据 上 一 步骤 中 的 指示 灯 状 态 列表 ,如 果 指 示 灯 状态 有 
异常 ,请 根据 指示 灯 状 态 ,通过 交叉 验证 确认 故障 所 在 ,具体 方法 如 下 。 

CR16000 的 电源 监控 模块 RUN 灯 灭 .MAJOR 灯亮 ,表示 电源 模块 有 故障 ,请 进一步 查 
看 电源 模块 指示 灯 状 态 。 

(a) 如 果 电 源 模块 输入 指示 灯 灭 ,表示 电源 输入 有 问题 ,请 交叉 电源 模块 对 应 的 电源 线 和 
供电 线路 ,确认 供电 线路 有 无 问题 。 如 果 现 场 不 具备 交叉 验证 的 条 件 , 请 联系 机 房管 理 员 进行 
检查 确认 。 

(b) 如 果 电 源 模块 输入 指示 灯 正 常 ,输出 指示 灯 灭 ,表示 电源 输出 有 问题 ,请 交叉 电源 模 
块 ,确认 故障 是 否 跟随 电源 模块 走 ; 跟随 电源 模块 走 , 则 为 电源 模块 故障 ,否则 为 电源 框 故障 ; 
请 将 排查 结果 反馈 400。 如 果 现 场 不 存在 交叉 验证 的 条 件 , 请 按照 后 续 步 又 收集 信息 并 反 
馈 400。 

SR8800 直接 查看 电源 模块 指示 灯 状 态 。 

(a) 如 果 电 源 模块 输入 指示 灯 灭 ,表示 电源 输入 有 问题 ,请 交叉 电源 模块 对 应 的 电源 线 和 
供电 线路 ,确认 供电 线路 有 无 问题 。 如 果 现 场 不 具备 交叉 验证 的 条 件 , 请 联系 机 房管 理 员 进行 
检查 确认 。 

(b) 如 果 电 源 模块 输入 指示 灯 正 常 ,输出 指示 灯 灭 ,表示 电源 输出 有 问题 ,请 交叉 电源 模 
块 ,确认 故障 是 否 跟随 电源 模块 走 ; 跟随 电源 模块 走 , 则 为 电源 模块 故障 ,否则 为 电源 框 故障 ; 
请 将 排查 结果 反馈 400。 如 果 现 场 不 存在 交叉 验证 的 条 件 , 请 按照 后 续 步 又 收集 信息 并 反 
馈 400。 

以 上 所 有 操作 请 在 征 得 客户 同意 下 进行 ,并 确保 设备 供电 充足 ,不 会 对 客户 业务 造成 影 
响 。 设 备 功 耗 计算 请 参考 各 产品 的 安装 指导 。 根 据 交 叉 验 证 的 结果 确认 故障 所 在 ,拨打 
400-810-0504 寻求 帮助 。 

@ 查看 日 志 告 警 信息 和 电源 状态 。 如 果 电 源 指 示 灯 正常 ,通过 命令 行 确 认 电 源 状态 是 否 
异常 ,设备 是 否 打印 电源 状态 异常 的 日 志 告 警 信息 。 

如 果 确 认 有 电源 状态 异常 或 者 日 志 中 有 电源 异常 告警 信息 ,请 按照 下 一 步 收集 故障 信息 。 
如 果 电 源 状态 正常 , 且 日 志 中 没有 电源 异常 的 告警 信息 , 则 说 明 电 源 是 正常 的 。 
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查看 日 志 信 息 命令 : display logbuf fer 
查看 电源 状态 命令 : display power-supply verbose 
例如 : 通过 命令 查看 日 志 信 息 中 的 电源 告警 信息 。 


<H3C> display logbuffer 


%@2551376% Mar 25 21:51:05:327 2013 H3C DEV/4/POWER FAILED:Chassis=1-Slot=0; 
Chassis 1 Power PSU 1/1/5 failed. 


例如 : 通过 命令 查看 电源 状态 。 


<H3C> displaypower-supply verbose 

PSU Status: 

ID Status Input-Err Output-Err High-Temperature Fan-Err Closed Current-Limit 
1/1 Normal 

1/2 Absent 

1/3 Normal 

1/4 Absent 

1/5 failed 

1/6 Absent 


@ 收集 故障 信息 。 确 认 电 源 状态 异常 ,或 者 日 志 中 有 电源 异常 告警 信息 ,需要 收集 故障 
信息 ,反馈 给 800 排查 。 

故障 信息 请 收集 设备 的 诊断 信息 .日 志 信 息 文 件 和 diagfile 文件 ,具体 收集 方法 如 下 。 

(a) 收集 设备 诊断 信息 。 

命令 : display diagnostic-information 

执行 完 上 述 这 条 命令 之 后 ,请 将 在 CF 卡 根 目录 中 生成 的 diag 文件 导出 来 保存 。 

例如 : 


<H3C>display diagnostic-information 

Save or display diagnostic information (Y=save, N= display)? [Y/N] :y 
Please input the file name( * . diag) [cfa0 : / default. diag] : 

Diagnostic information is outputting to cfa0 :/default. diag. 

Please wait... 

Save successfully. 

<H3C>dir cfa0:/ 

Directory of cfa0:/ 


0 drw- S Jul 07 2013 07:16:12 logfile 

1 drw- z Jul 07 2013 07:13:04 diagfile 

2 -rw- 4924407 May 06 2013 06:43:32 default.diag 
3 drw- - May 02 2013 03:31:52 diaglog 


1021088 KB total (554020 KB free) 


File system type of cfa0: FAT32 
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(b) 收集 设备 日 志 信 息 文件 。 

命令 : log file save 

执行 完 上 述 命令 后 ,将 CF 卡 的 logfile 文件 夹 中 的 logfile 文件 全 部 导出 来 保存 。 
例如 : 


<H3C>logfile save 


Saved the log file buffer to file cfa0 :/logfile/logfile2. log successfully. 
<H3C>dir cfa0:/logfile/ 
Directory of cfa0:/logfile/ 


0 -rw- 10484413 Dec 26 2013 08:37:00 logfilel.log 

1 -rw- 150941 Dec 14 2013 10:10:54 logfile. log 

2 -rw- 127193 Jan 21 2013 09:41:28 logfile2.log 
1021808 KB total (140128 KB free) 


File system type of cfa0: FAT16 


(c) 收集 设备 diagfile 信息 文件 。 

(SR8800 的 R32XX 版 本 及 之 前 版 本 ,没有 该 文件 ,无 须 收集 。) 

在 系统 视图 下 输入 _hide, 进 入 隐 含 模式 ,执行 保存 诊断 文件 的 命令 。 

命令 : _diagnose file save 

执行 完 上 述 命令 后 ,将 CF 卡 的 diaglog 文件 夹 中 的 log 文件 全 部 导出 来 保存 。 
例如 : 


[H3C]_hide 
Now you enter a hidden command view for developer's 


testing, some commands may 
affect operation by wrong use, please carefully use it with our engineer's 


direction. 


decmd]_diagnose-file save 
Info: Diagnostic file buffer is empty. 
[H3C-hidecmd] 

<H3C>4ir cfa0:/diaglog/ 
Directory of cfa0 : / diaglog/ 


-rw- 2418760 Jul 09 2013 01:43:16 diagfilel.log 
-rw- 69266 Dec 03 2013 09:38:36 diagfile.log 
-rw- 4291181 Dec 10 2013 12:27:48 diagfile2.log 
-rw- 292979 Jul 07 2013 07:31:52 diagfile3.log 
-rw- 5240510 Jul 08 2013 11:55:00 diagfile4.log 
-rw- 110346 Jul 07 2013 08:51:44 diagfile5.log 
-rw- 192711 Jul 09 2013 12:03:26 diagfile6.log 
-rw- 166363 Jul 09 2013 08:38:20 diagfile7.log 
-rw- 17121 Jul 08 2013 16:37:48 diagfile8.log 
-rw- 101888 Jul 07 2013 07:54:28 diagfile9.log 
10 -rw- 2375568 Jul 09 2013 08:06:34 diagfile10.log 


coron pwne o 
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127206 KB total (56252 KB free) 


File system type of cfa0: FAT16 


(4) 单 板 无 法 注册 问题 

O 判断 是 否 是 开局 故障 。 设 备 开 局 时 出 现 单 板 无 法 注册 问题 ,可 能 的 故障 原因 有 很 多 ， 
需要 进一步 排查 ; 而 设备 运行 中 出 现 单 板 无 法 注册 问题 ,可 能 的 故障 原因 很 少 ,硬件 故障 占 了 
大 多 数 。 

所 以 如 果 是 开局 故障 ,请 按照 接 下 来 的 步骤 继续 排查 ; 如 果 不 是 开局 故障 ,而 是 设备 运行 
中 出 现 的 故障 ,请 直接 收集 故障 信息 并 联系 400. 

© 收集 故障 信息 。 故 障 信息 请 收集 设备 的 诊断 信息 .日 志 信息 文件 和 diagfile 文件 ,具体 
收集 方法 如 下 。 

(a) 收集 设备 诊断 信息 。 

MA: display diagnostic-information 

执行 完 上 述 这 条 命令 之 后 ,请 将 在 CF 卡 根 目 录 中 生成 的 diag 文件 导出 来 保存 。 

例如 : 


<H3C>display diagnostic-information 

Save or display diagnostic information (Y=save, N=display)? [Y/N]:y 
Please input the file name( * . diag) [cfa0:/default. diag] : 

Diagnostic information is outputting to cfa0;/ default. diag. 

Please wait... 

Save successfully. 

<H3C>4ir cfa0:/ 

Directory of cfa0:/ 


0 drw- - Jul 07 2013 07:16:12 logfile 

1 drw- - Jul 07 2013 07:13:04 diagfile 

2 -rw- 4924407 May 06 2013 06:43:32 default. diag 
3 drw- - May 02 2013 03:31:52 diaglog 


1021088 KB total (554020 KB free) 


File system type of cfa0: FAT32 


(b) 收集 设备 日 志 信息 文件 。 

命令 : logfile save 

执行 完 上 述 命令 后 ,将 CF 卡 的 logfile 文件 夹 中 的 logfile 文件 全 部 导出 来 保存 。 
例如 ， 


<H3C>logfile save 


Saved the log file buffer to file cfa0 :/logfile/logfile2. log successfully. 
<H3C>dir cfa0:/logfile/ 
Directory of cfa0 : /logfile/ 


0 -rw- 10484413 Dec 26 2013 08:37:00 logfilel.log 
1 -rw- 150941 Dec 14 2013 10:10:54 logfile.log 
2 pw 127193 Jan 21 2013 09:41:28 logfile2.log 
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1021808 KB total (140128 KB free) 


File system type of cfa0: FAT16 


(c) 收集 设备 diagfile 信息 文件 。 

(SR8800 的 R32XX 版 本 及 之 前 版 本 ,没有 该 文件 ,无 须 收集 .) 

在 系统 视图 下 输入 _hide, 进 入 到 隐 含 模式 ,执行 保存 诊断 文件 的 命令 。 

MA: _diagnose file save 

执行 完 上 述 命令 后 ,将 CF 卡 的 diaglog 文件 夹 中 的 log 文件 全 部 导出 来 保存 。 
例如 : 


[H3C] _hide 
Now you enter a hidden command view for developer's 


testing, some commands may 
affect operation by wrong use, please carefully use it with our engineer's 


direction. 

[H3C-hidecmd] _diagnose-file save 
Info: Diagnostic file buffer is empty. 
[H3C-hidecmd] 

<H3C>4ir cfa0 : / diaglog/ 
Directory of cfa0 : / diaglog/ 


-rw- 2418760 Jul 09 2013 01:43:16 diagfilel.log 
-rw- 69266 Dec 03 2013 09:38:36 diagfile.log 
-rw- 4291181 Dec 10 2013 12:27:48 diagfile2.log 
-rw- 292979 Jul 07 2013 07:31:52 diagfile3.log 
-rw- 5240510 Jul 08 2013 11:55:00 diagfile4.log 
-rw- 110346 Jul 07 2013 08:51:44 diagfile5.log 
-rw- 192711 Jul 09 2013 12:03:26 diagfile6.log 
-rw- 166363 Jul 09 2013 08:38:20 diagfile7.log 
-rw- 17121 Jul 08 2013 16:37:48 diagfile8.log 
-rw- 101888 Jul 07 2013 07:54:28 diagfile9.log 
10 -rw- 2375568 Jul 09 2013 08:06:34 diagfilel0.log 


oonan Q t — o 


127206 KB total (56252 KB free) 


File system type of cfa0: FAT16 


@ 判断 是 否 误 插 。 单 板 误 插 到 非 适 配 机 型 的 机 框 上 ,会 出 现 单 板 无 法 注册 问题 。 

查看 “H3C 技 支 通知 2014(007) 号 一 一 关于 下 发 机箱 式 产品 单 板 严禁 混 择 说 明 (V1.0)》 
的 通知 ”, 或 者 查看 单 板 的 包装 盒 中 附带 的 说 明 书 ,或 者 访问 官网 并 搜索 单 板 型 号 ( 单 板 型 号 可 
以 在 单 板 的 前 面板 的 右上 角 查 看 到 ) ,确认 单 板 是 否 和 机 框 适 配 。 

如 果 确 认 误 插 , 请 更 换 单 板 或 者 更 换 机 框 解决 ; 如 果 不 是 误 插 ,请 按照 后 续 步 骤 继 续 
排查 。 
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© 插 拔 单 板 确认 已 插 紧 。 单 板 没 有 插 紧 ,或 者 单 板 后 部 的 连接 器 故障 ,也 会 导致 单 板 无 
法 注册 。 

(a) 拔 出 单 板 后 ,首先 判断 单 板 后 部 与 背 板 相 连 的 连接 器 是 否 故 障 ,是 否 受 到 物理 损坏 ; 
如 果 是 ,请 直接 联系 400 更 换 单 板 解决 ; 如 果 不 是 ,请 按照 后 续 步 又 重新 插入 单 板 ,确保 单 板 
J, 

(b) 搬入 单 板 时 ,要 把 单 板 前 面板 两 侧 的 扳手 往外 翻 ,插入 后 要 把 将 扳手 向 内 合拢 ,使 单 
板 与 背 板 紧密 接触 。 

(c) 把 单 板 前 面板 的 螺钉 拧紧 ,确保 单 板 已 固定 。 

O 查看 软件 版 本 是 否 配套 。 新 发 货 的 单 板 与 设备 运行 的 软件 版 本 不 配套 ,会 导致 单 板 无 
法 注册 ; 如 果 是 备用 主 控 板 ,其 发 货 版 本 和 主 用 主 控 板 不 一 致 ,也 会 出 现 无 法 注册 的 问题 。 

(a) 对 于 前 一 种 情况 ,请 查看 设备 运行 版 本 的 版 本 说 明 书 ,查看 其 中 附录 A 的 版 本 硬件 特 
性 列表 里 是 否 有 该 单 板 的 型 号 列 出 。 

如 果 能 查 到 该 单 板 型 号 , 则 说 明 软 件 版 本 和 单 板 是 配套 的 ,请 按照 后 续 步 又 继续 排查 。 如 
果 没 有 查 到 ,可 以 确认 软件 版 本 与 单 板 不 配套 ,请 访问 官网 并 下 载 设备 最 新 版 本 的 版 本 说 明 
书 ,按照 上 述 相同 的 方法 确认 单 板 是 否 和 最 新 版 本 配套 ,如 果 配 套 , 则 升级 最 新 软件 版 本 解决 
如 果 单 板 和 最 新 版 本 依然 无 法 配套 ,请 联系 400 。 

(b) 如 果 是 备用 主 控 板 ,需要 检查 其 发 货 版 本 是 否 和 主 用 主 控 板 一 致 。 检 查 方法 如 下 。 

把 备用 主 控 板 插入 机 框 , 同 时 把 console 线 接 入 到 备用 主 控 板 上 的 console 接口 ,查看 备 
用 主 控 板 启动 过 程 。 在 备用 主 控 板 的 启动 过 程 中 ,会 显示 备用 主 控 板 的 启动 版 本 ,通过 查看 启 
动 版 本 可 以 确认 是 否 和 主 用 主 控 板 版 本 一 致 。 

例如 : 查看 SR8800 备用 主 控 板 启动 时 打印 的 启动 版 本 信息 ,启动 版 本 是 R3342。 


Press Ctrl 十 B to enter extended boot menu... 
Starting to get the main application file--cfa0:/SR8800-CMW520-R3342. bin! 


如 果 确 认 备 用 主 控 板 版 本 和 主 用 主 控 板 版 本 不 一 致 ,请 查看 备用 主 控 板 版 本 对 应 的 版 本 
说 明 书 ,参考 其 附录 B 中 的 “通过 BootWare 菜单 升级 启动 文件 ”这 一 节 , 在 BootWare 菜单 下 
同步 备用 主 控 板 版 本 和 主 用 主 控 板 一 致 。 如 果 确 认 备 用 主 控 板 版 本 和 主 用 主 控 板 版 本 一 致 ， 
请 继续 按照 后 续 步 又 排查 。 

@ 查看 系统 工作 模式 是 否 匹配 。 设 备 运行 的 系统 工作 模式 和 单 板 不 匹配 ,会 导致 单 板 无 
法 注册 。 

MS: display system working mode 

(a) 通过 上 述 命令 可 以 查看 设备 运行 的 系统 工作 模式 。 

(b) 同时 请 查看 单 板 所 对 应 的 产品 的 操作 手册 ,在 “01 基础 配置 指导 -设备 管理 配置 -配置 
系统 工作 模式 ?这 一 节 中 ,可 以 查看 到 各 类 系统 工作 模式 所 支持 的 单 板 类 型 。 

(c) 通过 对 比 以 上 两 步 所 查 得 的 信息 ,可 以 确认 单 板 是 否 和 设备 运行 的 系统 工作 模式 
匹配 。 

(d) 如 果 匹 配 ,请 继续 排查 后 续 步 又 ; 如 果 不 匹 配 ,请 调整 系统 工作 模式 解决 。 注 意 , 调 
整 系统 工作 模式 需要 重启 设备 才能 生效 。 

例如 : 通过 命令 查看 ,可 以 确认 SR8800 的 系统 工作 模式 为 Hybrid。 
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<H3C>display system working mode 

Current system working mode :Hybrid 

Working mode after system restart: Hybrid 

Notice: Changing working mode will take effect only after system restart. 


@ 查看 系统 电源 功率 是 否 满足 要 求 。 如 果 设 备 在 增加 单 板 后 ,设备 总 功 耗 大 于 系统 电源 
输出 功率 ,因为 设备 系统 电源 功率 不 足 会 导致 单 板 无 法 注册 问题 。 

这 一 步骤 的 排查 方法 是 , 先 查 询 并 计算 出 设备 的 总 功 耗 和 设备 电源 输出 功率 ,再 对 比 两 
者 ,如 果 设 备 总 功 耗 小 于 设备 电源 输出 功率 ,说 明 系 统 电 源 功率 能 够 满足 要 求 , 请 继续 排查 后 
续 步 又 ; 如 果 设 备 总 功 耗 大 于 设备 电源 输出 功率 ,说 明 系 统 电源 功率 不 足 ,请 增加 设备 电源 模 
块 解决 。 

查询 和 计算 设备 功 耗 和 电源 输出 功率 的 方法 : 请 查看 对 应 产品 安装 指导 的 附录 A 章节 ， 
查找 设备 的 单 板 .风扇 的 最 大 功 耗 值 , 和 电源 模块 的 最 大 输出 功率 值 。 把 设备 上 所 有 的 单 板 和 
风扇 的 最 大 功 耗 值 相 加 ,结果 即 为 设备 的 整 机 功 耗 。 确 认 设备 上 有 几 个 电源 模块 ,然后 将 电源 
模块 数 乘 以 电源 模块 的 最 大 输出 功率 值 , 即 为 设备 系统 电源 输出 功率 。 

@ 交叉 验证 测试 。 经 过 前 述 步骤 的 排查 ,依然 无 法 排除 故障 的 话 , 请 使 用 交叉 验证 排查 
是 否 存在 硬件 故障 。 

(a) 交叉 验证 测试 的 目的 是 为 了 初步 确定 是 单 板 ,还 是 主 控 板 或 者 机 框 的 硬件 故障 。 

(b) 主要 排查 思路 就 是 通过 更 换 单 板 模 位 的 方式 ,确认 故障 是 跟着 单 板 转移 ,还 是 固定 出 
现在 某 一 槽 位 上 。 如 果 故 障 跟着 单 板 转移 , 则 可 以 初步 确定 是 单 板 存在 硬件 故障 ; 如 果 故 障 
固定 出 现在 某 一 槽 位 上 , 则 可 以 初步 确定 是 主 控 板 或 者 机 框 存在 硬件 故障 。 

(e) 具体 排查 方法 如 下 。 

将 无 法 注册 成 功 的 单 板 A, 和 能 够 注册 成 功 的 单 板 B 互 换 槽 位 测试 。 

如 果 单 板 A 在 新 的 模 位 上 依然 无 法 注册 成 功 ,同时 单 板 B 能够 注册 成 功 , 则 可 以 初步 确 
定 是 单 板 硬件 故障 导致 无 法 注册 成 功 ; 如 果 单 板 A 在 新 的 槽 位 上 可 以 注册 成 功 ,同时 单 板 B 
无 法 注册 成 功 , 则 可 以 初步 确定 是 主 控 板 或 者 机 框 的 硬件 故障 导致 单 板 无 法 注册 成 功 。 

(d) 初步 确定 硬件 故障 位 置 后 ,请 收集 故障 信息 (收集 方法 已 在 前 述 步骤 中 有 详细 解释 )， 
把 交叉 验证 结果 和 故障 信息 反馈 给 400. 
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04 路 由 器 产品 4.1 高 端 产品 4.1.6 MSR 硬件 故障 排查 步骤 详解 


1. 开始 

常见 MSRCV5) 设 备 硬件 故障 可 分 为 环境 及 单 板 硬件 状态 异常 , 板 卡 接口 检测 故障 ,以 太 
网 接口 故障 ,其 中 常 遇 到 的 硬件 问题 为 , 单 板 无 法 注册 ,设备 无 法 启动 ,接口 无 法 Up 等 ,硬件 
故障 排查 一 般 方法 为 : 最 常用 的 判断 方法 为 替代 测试 ,如 果 无 法 进行 替代 测试 可 根据 对 应 设 
备 调试 命令 ,或 设备 异常 堆栈 信息 进行 判断 。 

2. 流程 图 相关 操作 说 明 

(1) 环境 状态 

各 传感器 温度 应 处 于 低温 告警 门限 与 一 般 级 高 温 告 警 门限 之 间 , 如 出 现 异常 温度 告警 , 比 
如 : — 1C 、255 仿 等, 一般 是 软件 版 本 问题 或 温度 传感器 硬件 故障 ,需要 更 换 硬 件 。 

命令 : display environment 


例如 : 通过 命令 查看 设备 当前 温度 为 41°C ,设置 温度 告警 上 限 60C ,下 限 5C. 


<H3C> display environment 
System Temperature information (degree centigrade) : 


SlotNo Temperature Lower limit Upper limit 
0 41 5 60 
(2) 风扇 状况 


风扇 状态 应 该 显示 Normal。 如 出 现 Fault 或 Absent, 建 议 重新 插 拔 风 扇 尝 试 ,如 果 运 行 
时 间 较 长 ,建议 先 除尘 ,并 升级 最 新 版 本 ; 如 除尘 ,升级 版 本 后 问题 仍然 存在 ,建议 更 换 风扇 ， 
对 于 集中 式 设备 ,建议 更 换 设备 。 

命令 : display fan 

例如 : 通过 命令 显示 设备 风扇 工作 状态 为 Normal, 


<H3C> display fan 


Fan 1 State: Normal 


(3) 电源 状况 

电源 应 该 显示 Normal, 如 出 现 Fault 或 Absent, 建 议 重新 插 拔 后 尝试 ,并 升级 最 新 版 本 ， 
如 果 设 备 只 有 一 个 电源 , 且 该 电源 状态 不 正常 , 则 更 换 电源 或 者 设备 ; 如 果 有 多 个 电源 ,还 需 确 
认 电 源 是 否 在 位 或 者 没有 开 电 ,如 果 确 认 电 源 在 位 、 开 电 , 电 源 状态 异常 , 则 更 换 电 源 或 者 设备 。 

命令 : display power 

例如 : 显示 设备 电源 的 状况 为 Normal。 


<H3C> display power 


Power 0 State: Normal 


(4) 板 卡 运行 状况 
所 有 业务 板 应 该 是 Normal, 如 果 显示 为 Fault 则 表示 该 槽 位 单 板 出 错 , 不 能 正常 启动 。 
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出 现 无 法 注册 问题 ,或 者 不 能 识别 问题 ,建议 官网 查看 “接口 模块 手册 -03- 附 录 B 适 配 关 
系 章节 ”与 版 本 手册 ,如 果 模 位 适 配 关系 与 版 本 都 符合 要 求 ,可 进行 蔡 代 测试 ,确认 单 板 或 主机 
故障 ,进行 更 换 。 
MA: display device 
例如 : 设备 板 卡 SIC-1FEA 在 槽 位 1 上 状态 为 Normal。 
<H3C> display device 
Slot No. Board TypeStatus Max Ports 


0 MSR20-21 RPU Board Normal 12 
1 SIC-1FEA Normal 1 


(5) 设备 无 法 启动 

常见 有 下 面 5 种 情况 。 

O 找 不 到 启动 文件 ,请 首先 确认 启动 文件 本 身 是 否 正常 ,可 通过 md5 检验 确认 ,之 后 判 
断 是 否 为 Flash 故障 导致 启动 文件 异常 ,此 时 可 以 接 Ctrl 十 F 键 格式 化 Flash 后 重新 加 载 启动 
文件 ,如 格式 化 过 程 报错 ,需要 更 换 主机 板 。 

© 电源 无 法 上 电 ,CON 口 无 反应 ,建议 更 换 电源 插座 \ 电 源 线 .PC、CON 线 测试 ,如 果 确 
认 都 正常 ,可 以 进行 主机 更 换 。 

@ 开机 ,按照 提示 进行 内 存 检测 ,如果 检测 失败 ,进行 主机 更 换 。 

@ 如 果 启 动 过 程 中 出 现 * 卡 死 ” 现 象 ,建议 拔 掉 所 有 单 板 后 重启 尝试 ,确认 是 主机 故障 还 
是 板 卡 故 障 引 起 启动 异常 ,进行 相应 设备 硬件 更 换 。 
例如 1: 

id 一 0xlcfff000, proc=0x18e11e0 

Startup configuration file does not exist. 

User interface con0 is available. 

Press ENTER to get started.--- 敲 回 车 ,没有 任何 反应 


例如 2: 
system application si start id= Ox1a000fff, proc 一 0x20b29c4-- 打 印 此 环节 后 无 反应 


@ 启动 过 程 中 ,打印 乱码 或 异常 信息 ,可 进行 设备 硬件 更 换 。 


例如 : 

id 一 0x1400300, proc 一 0xla92368 

id 一 0x2050000, proc 一 0x18500c8 

id 一 0x2050fff,proc 一 0x1847178----- 打 印 异常 信息 


Exception 

Exception Number: 0x300 

Exception Name: DATA ACCESS EXCEPTION 

Exception Instruction: 0x01AF1E40 

Exception Slot: 0 

Exception Task: N/A (TID: —1) 

Exception Stack Base: Oxffffffff 

Exception Time: 2011-01-14 17:40:30 

Exception Tick: 0x0(CPU Tick High) 0x4b59780d(CPU Tick Low) 


Register contents: 
Reg: link[0], Val = 0x00000000 ; Reg: link[1], Val = 0x00000000 ; 
Reg: link[2], Val = 0x00000000 ; Reg: link[3], Va 
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(6) 板 卡 接口 故障 检测 

对 于 板 卡 接口 类 故障 常见 排查 方法 为 接口 替代 测试 ,如 果 无 法 进行 蔡 代 测试 ,可 以 进行 接 
口 打 环 测试 ,通过 命令 配置 本 地 环 回 ,查看 接口 是 否 检测 到 环 回 ,是 否 Up, 如 果 打 环 测 试 失 
败 ,接口 无 法 Up, 建 议 更 换 板 卡 ; 对 于 常用 的 El 与 串口 板 卡 , 打 环 测试 同时 ,还 需要 观察 接口 
收发 包 是 否 一 致 ( 需 先 清空 接口 计数 ) . 打 环 成 功 ,收发 包 不 一 致 ,也 需要 硬件 更 换 , 具 体 判断 方 
法 可 参考 接口 类 型 对 应 的 云图 章节 。 

(7) 以 太 网 接口 故障 检测 

首先 使 用 loopback internal 命令 对 于 以 太 网 接口 做 环 回 测试 ,如 果 检 测 失败 ,直接 进行 模 
块 或 主机 更 换 , 如 果 成 功 ,接口 使 用 中 无 法 Up, 可 以 用 PC 加 交叉 网 线 与 该 接口 连接 测试 ,在 
保证 网 线 与 PC 正常 情况 下 ,接口 依然 无 法 Up, 可 进行 板 卡 或 硬件 更 换 更 换 。 


定 三 层 接口 : 
[H3C-Ethernet0/0] loopback internal 
%Jan 100:12:27:584 2007 client IFNET/3/LINK_UPDOWN: Ethernet0/0 link status is Up. 
%Jan 100:12:27:585 2007 client IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface 
Ethernet0/0 is Up. 
[H3C-Ethernet0/0] display interface Ethernet 0/0 
Ethernet0/0 current state: Up 
Line protocol current state: Up 
Description: Ethernet0/0 Interface 
The Maximum Transmit Unit is 1500 
Internet protocol processing : disabled 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 5866-ba83-0f70 
IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 5866-ba83-0f70 
Media type is twisted pair, loopback is set, promiscuous mode not set 
二 层 交 换 接口 : 
[H3C-Ethernet0/4] loopback internal 
Jan 100:13:05:645 2007 client IFNET/3/LINK_UPDOWN: Ethernet0/4 link status is Up. 
[H3C-Ethernet0/4] display interface Ethernet 0/4 
Ethernet0/4 current state: Up 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 5866-ba83-0f72 
Description: Ethernet0/4 Interface 
Loopback is set internal 


H3C-Ethernet0/0] loopback internal 

Jan 1 00:12:27:584 2007 client IFNET/3/LINK_UPDOWN: Ethernet0/0 link status is Up. 
%Jan 100:12:27:585 2007 client IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface! 
Ethernet0/0 is Up. 

[H3C-Ethernet0/0] display interface Ethernet 0/0 

Ethernet0/0 current state: Up 

Line protocol current state: Up 

Description: Ethernet0/0 Interface 

The Maximum Transmit Unit is 1500 

Internet protocol processing : disabled 

IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 5866-ba83-0f70 

IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 5866-ba83-0f70 

Media type is twisted pair, loopback is set, promiscuous mode not set 
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Bp ie 已 = >= Da 4.1.7 MPLS L2VPN( V7) 


1. MPLS L2VPN 故障 排查 

由 与 使 用 LDP 方式 的 MPLS L2VPN 通过 LDP 协议 向 远 端 通告 本 端 PW 标签 等 信息 ， 
报 文 转发 是 基于 外 层 LSP 的 ,而 LSP 是 依附 于 路 由 的 。 所 以 定位 故障 的 思路 是 : 先 查 路 由 、 
再 查 LSP/LDP, 最 后 排查 MPLS L2VPN 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 公 网 路 由 

确认 是 否 在 公 网 LSP 途径 的 所 有 设备 上 都 存在 两 端 PE 的 loopback 地 址 精确 路 由 。 

MA: display ip routing-table 

例如 : 通过 命令 查看 ,可 以 确认 存在 对 端 PE 的 Loopback 路 由 2. 2. 2. 2. /32, 下 一 跳 是 
10, 0, 0, 2, 


[H3C]display ip routing-table 
Destinations : 14 Routes : 14 
Destination/ Mask Proto Pre Cost NextHop Interface 


2.2.2.2/32 O_INTRA 10 1 10.0.0.2 GE0/0 


(2) 确认 和 修改 公 网 IGP 配置 

是 否 通过 公 网 IGP 将 PE 的 loopback 地 址 的 路 由 发 布 出 去 。 

例如 : 公 网 IGP 使 用 OSPF, 查 看 OSPF 配置 .可 以 确认 已 将 PE 的 loopback 地 址 1.1.1.1 发 
布 进 公 网 OSPF 内 。 


[H3C] display current-configuration configuration ospf 


ospf 1 

area 0.0.0.0 
network 1.1.1.1 0.0.0.0 
network 10.0.0.1 0.0.0.0 


(3) 查看 公 网 LSP 信息 及 LDP 状态 
查看 整个 LSP 上 的 所 有 设备 是 否 已 经 为 两 个 PE 的 loopback 地 址 正确 的 分 配 了 公 网 标 
签 , 以 及 LDP Peer 是 否 正 常 。 
MS: display mpls lsp 
display mpls ldp peer 
例如 : 通过 命令 查看 ,到 达 2. 2. 2.2 的 LSP 已 经 建立 ,LSP 状态 正常 。 


[H3C]display mpls lsp 


FEC Proto In/Out Label Interface/Out NHLFE 
1121537252 LDP 3/- z 

2:2.2:2/32 LDP 1151/3 GE0/0 

2 LDP -/3 GE0/0 


10.0.0.2 Local =/= GE0/0 
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[H3C] display mpls ldp peer 


Total number of peers: 1 
Peer LDP ID State Role GR MD5 KA Sent/Rcvd 


2.2.2.2:0 Operational Passive Off Off 34/33 


(4) 确认 和 修改 公 网 MPLS 配置 
在 沿途 所 有 设备 上 全 局 开启 MPLS 和 MPLS LDP, 并 在 接口 下 配置 MPLS 和 


MPLS LDP。 
例如 : 本 端 PE 上 设置 mpls Isr-id1. 1. 1.1, 全 局 和 接口 下 开启 MPLS 和 MPLS LDP, fr 


今 为 mpls enable ,mpls ldp enable, 


[H3C] display current-configuration 
# 
mpls lsr-id 1.1.1.1 
# 
mpls ldp 
# 
interface GigabitEthernet0/0 
mpls enable 
mpls ldp enable 


(5) 查看 PW 状态 
分 别 查看 两 端 PE 路 由 器 的 PW 状态 以 及 AC 接口 状态 是 否 Up. 
MS: display l2vpn xconnect-group verbose 


例如 : 通过 命令 查看 ,查看 与 Peer 2. 2. 2. 2 建立 的 PW-ID 为 123 的 PW 状态 正常 。AC 接 


口 状态 正常 。 
[H3C]display 12vpn xconnect-group verbose 
Xconnect-group Name :1 
Connection Name e 
Connection ID sO) 
State : Up 
MTU : 1500 
LDP PWs: 
Peer PW ID Link ID State 
2.2.2.2 123 1 Up 
ACs: 
AC Link ID State 
GE0/1 0 Up 


(6) 确认 和 修改 PW 配置 

查看 配置 交叉 连接 组 , 绑 定 AC 接口 ,并 指定 对 端 loopback 地 址 , 而且 pw-id 以 及 
pw-class 必须 一 致 。 

例如 : 创建 交叉 连接 组 1, 创 建交 叉 连接 1, 在 交叉 连接 下 绑 定 AC 接口 ,并 指定 与 对 端 
(2. 2.2. 2) 建 立 PW,PW-ID 为 123, 同 时 引用 PW 模板 1 。 


[H3C]display current-configuration configuration xcg 


# 


xconnect-group 1 
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connection 1 
ac interface GigabitEthernet0/1 
peer 2.2.2.2 pw-id 123 pw-class 1 
# 
[H3C]display 12vpn pw-class 
Total number of PW classes: 1 


PW Class Name PW Type Control Word VCCV CC 
1l Ethernet Enabled Control-Word 


VCCV BFD 
BFD 
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ee == m 4.2.1 配置 策略 路 由 后 业务 
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1. 开始 

策略 路 由 的 作用 是 依据 用 户 配置 的 策略 进行 报 文 转 发 ,其 关键 在 于 所 需 执 行 的 动作 。 所 
以 定位 故障 的 思路 是 : 先 排 查 ACL 策略 .再 排查 节点 动作 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 网 络 连 通 性 

首先 检查 网 络 连通 性 ,确保 在 不 配置 策略 路 由 时 业务 正常 。 

(2) 查看 ACL 策略 是 否 正 确 

检查 与 策略 路 由 相关 ACL 策略 的 配置 与 应 用 是 否 正 确 。 

如 果 设备 上 存在 多 个 策略 路 由 或 策略 路 由 存在 多 个 节点 , 需 注 意 同一 ACL 被 多 次 应 用 
或 者 不 同 ACL 中 RULE 相同 的 情况 (可 能 导致 相关 报 文 转发 出 接口 /下 一 跳 错误 ) 。 


MA: display policy-based-route [ policy-name ] 


display acl { acbnumber | all | name acl-name ) 
例如 : 配置 ACL 策略 3000, 匹配 源 地 址 为 192.168.1.1 的 IP 报 文 以 及 源 地 址 为 
192.168.1.3 的 WWW 报 文 ,并 将 其 应 用 到 策略 路 由 h3c 的 Node 20。 


[H3C] display policy-based-route h3c 
Policy based routing configuration information: 
policy-based-route : h3c 
Node 20 permit : 
if-match acl 3000 
apply ip-address next-hop 11.0.0.1 


[H3C]display acl 3000 
Advanced ACL 3000, named -none-，2 rules, 
ACL's 


step is 5 
rule 0 permit ip source 192.168.1.10 
rule 5 permit tcp source 192.168.1.3 0 source-port eq www 


(3) 修改 ACL 策略 

ACL 策略 配置 与 应 用 不 正确 可 分 以 下 三 种 情况 。 

Q@ ACL 策略 本 身 配 置 错误 ,没有 正确 引流 一 一 请 修改 ACL 策略 配置 。 

@ ACL 策略 配置 正确 ,但 是 被 应 用 到 其 他 策略 路 由 或 者 此 策略 路 由 的 其 他 节点 一 一 请 
将 ACL 策略 正确 调用 到 相应 的 策略 节点 。 

© ACL 策略 配置 不 精确 ,导致 不 该 匹配 该 策略 路 由 的 业务 报 文 , 经 此 策略 路 由 转发 , 导 
致 这 些 业 务 转发 不 通 一 一 请 修改 ACL 规则 , 仅 匹 配 所 需 业 务 报 文 即 可 。 

(4) 检查 下 一 跳 / 出 接口 配置 

策略 路 由 中 ,每 个 节点 可 以 配置 多 个 apply 动作 。 在 下 一 跳 (nextrhop) 动 作 与 出 接口 
(output-interface) 动 作 同时 配置 的 情况 下 ,下 一 跳动 作 优 先 执行 ,所 以 先 检 查 下 一 跳动 作 配 
置 , 然 后 再 检查 出 接口 动作 配置 。 

如 果 配 置 了 下 一 跳动 作 , 请 检查 配置 的 下 一 跳 地 址 是 否 正 确 。 例 如 ,以 下 配置 将 下 一 跳 地 
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址 配置 为 10. 0. 0. 2 。 


[H3C] display policy-based-route h3c 
Policy based routing configuration information: 
policy-based-route : h3c 
Node 10 permit : 
if-match acl 3000 
apply ip-address next-hop 10.0.0. 2 


如 果 配 置 了 出 接口 动作 ,请 检查 配置 的 出 接口 是 否 正确 。 建 议 指定 的 出 接口 为 P2P 类 型 
接口 , 当 配置 出 接口 为 非 P2P 接口 时 (例如 以 太 网 接口 ) ,可 能 会 造成 转发 不 通 。 例 如 ,以 下 配 
置 指定 出 接口 为 Serial0/0。 


[H3C] display policy-based-route h3c 
Policy based routing configuration information: 
policy-based-route : h3c 
Node 10 permit : 
if-match acl 3001 
apply output-interface Serial0/0 


(5) 下 一 跳 / 出 接口 是 否 生效 
策略 路 由 动作 : 指定 下 一 跳 。 
需 确保 配置 的 下 一 跳 地 址 可 达 。 例 如 : 通过 ping 测试 ,确认 了 下 一 跳 10. 1.1.1 可 达 。 


[SR66]ping 10.1.1.1 
PING 10.1.1.1: 56 data bytes, press CTRL_C to break 
Reply from 10.1.1.1: bytes=56 Sequence=1 ttl=255 time=1 ms 
Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms 
Reply from 10.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms 
Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms 
Reply from 10.1.1.1: bytes=56 Sequence=5 ttl 一 255 time=1 ms 


--- 10.1.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/1 ms 


策略 路 由 动作 : 指定 出 接口 。 

需 确 保 出 接口 物理 /协议 Up。 

如 果 知 道 下 一 跳 地 址 ,也 建议 使 用 ping 测试 保证 下 一 跳 地 址 可 达 。 

例如 : 示例 中 Serial 1/0 为 Down 状态 ,而 且 没有 配置 IP 地 址 , 需 确保 接口 Up 以 及 IP 地 
址 配置 正确 。 


[SR66]dis ip int b 
* down: administratively down 


(s): spoofing 
Interface Physical Protocol IP Address Description 
Seriall/0 down down unassigned Seriall/0... 


如 果 下 一 跳 / 出 接口 均 生 效 ,请 拨打 热线 电话 400-810-0504 寻求 帮助 。 
(6) 确保 下 一 跳 /出 接口 生效 
检查 相关 接口 . 链 路 以 及 对 端 设 备 ,保证 下 一 跳 /出 接口 生效 。 
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RE — 4.2.2 等 价 路 由 不 能 达到 
04 中 由 六 产品 a 


1. 开始 

定位 故障 的 思路 是 : 先 查 看 是 否 形 成 等 价 路 由 ,再 确定 需求 是 否 为 基于 带宽 的 负载 分 担 。 
基于 带宽 时 ,要 确定 相关 端口 的 负载 带宽 配置 ; 不 基于 带宽 时 ,要 确认 是 否 存在 影响 等 价 路 由 
负载 效果 的 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 等 价 路 由 

查看 设备 的 路 由 表 , 判 断 是 否 形成 等 价 路 由 ,如 果 未 形成 等 价 路 由 请 拨打 热线 400-810- 
0504 寻求 帮助 。 

命令 : display ip routing-table x.x. x.x 

例如 : 以 下 命令 表示 ,去 往 目的 地 址 2. 2. 2. 2 存在 2 条 等 价 路 由 。 


<H3C>4isplay ip routing-table 2.2.2.2 
Routing Tables: Public 


Destinations : 7 Routes : 8 
Destination/ Mask Proto Pre Cost NextHop Interface 
2.2.2.2/32 Static 60 0 10.1-1.2 GE0/0/0 
Static 60 0 20.1.1.2 GE0/0/1 


(2) 基于 带宽 的 负载 分 担 

如 果 需 求 是 基于 带宽 的 负载 分 担 , 请 查看 设备 是 否 开启 基于 带宽 的 负载 分 担 功能 。 
命令 : bandwidth-based-sharing 

例如 : 通过 display this 命令 查看 ,确认 设备 已 经 开启 基于 带宽 的 负载 分 担 功 能 。 


<H3C>display this 


# 
bandwidth-based-sharing 
# 


如 果 需 求 不 是 基于 带宽 的 负载 分 担 ,请 跳 过 此 步 ,进入 步骤 (4) 。 
(3) 检查 端口 负载 带宽 值 
默认 情况 下 ,接口 负载 带宽 为 接口 的 物理 带宽 。 
可 以 通过 命令 ,修改 接口 负载 带宽 值 , 实 现 基 于 一 定 比例 的 负载 分 担 。 
命令 : load-bandwidth bandwidth 
例如 : 通过 命令 查看 ,确认 接口 的 负载 带宽 为 1000。 
[H3C-GigabitEthernet0/0/0] display this 
T GigabitEthernet0/0/0 
port link-mode route 
ip address 10.1.1.1 255.255.255.0 


load-bandwidth 1000 
# 
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说 明 : 如 果 上 述 负 载 带 宽 值 设置 为 0, 就 会 关闭 当前 接口 的 路 由 功能 ,该 接口 将 不 会 被 选 
择 , 但 不 对 物理 接口 的 其 他 状态 产生 影响 。 

如 果 确 认 此 步骤 配置 正确 后 ,仍然 无 法 达到 期 望 效果 ,请 进入 步骤 (4) 。 

(4) 检查 影响 等 价 路 由 负载 效果 的 配置 

查看 设备 是 否 存在 影响 等 价 路 由 负载 效果 的 配置 ,如 策略 路 由 、 等 价 路 由 负载 分 担 方 
式 等 。 

策略 路 由 优先 级 高 于 IP 路 由 表 。 所 以 配置 策略 路 由 后 ,可 能 会 影响 到 等 价 路 由 的 负载 效 
果 。 例如: 通过 命令 查看 ,发 现 设备 上 配置 了 策略 路 由 ,指定 下 一 跳 为 10. 1. 1. 2。 


<H3C>display policy-based-route 
policy-based-route : h3c 
Node 10 permit : 
if-match acl 2000 
apply ip-address next-hop 10.1.1.2 


在 基于 流 的 负载 分 担 方式 中 ,可 能 会 因为 客户 业务 的 原因 ,无 法 达到 负载 效果 。 可 以 通过 
配置 基于 报 文 的 逐 包 负载 分 担 方式 解决 此 问题 。 

命令 : ip load-sharing mode {per flow [ destip | srcip ] | per- packet } 

例如 : 通过 命令 查看 ,设备 的 负载 分 担 模式 为 基于 报 文 目的 IP 地 址 的 逐 流 负载 分 担 。 


<H3C>display this 
ip load-sharing mode per-flow dest-ip 
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se NE =p 人 42.3 内 网 用 户 无 法 通过 域名 访 
Bi 问 内 部 服务 器 故障 排查 Sa 


1. 开始 

当前 ,内 网 用 户 通过 域名 访问 内 部 服务 器 在 现 网 中 已 得 到 广泛 应 用 。 此 类 应 用 绝 大 多 数 
与 局 域 网 出 口 路 由 器 相关 ,本 云图 的 排查 思路 也 是 基于 此 种 情况 。 

排查 时 ,请 先 查看 网 络 连 通 性 是 否 正 常 ,再 查看 服务 器 配置 是 否 正 确 , 最 后 查看 出 口 路 由 
器 的 相关 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 网 络 连通 性 

需 保 证 内 网 用 户 终端 与 DNS 服务 器 .内 网 用 户 终端 与 内 部 服务 器 以 及 其 他 相关 设备 之 间 
网 络 可 达 。 

建议 使 用 ping 工具 或 者 Tracert 工具 检查 网 络 的 连通 性 。 

(2) 查看 DNS 服务 器 /内 部 服务 器 配置 

DNS 服务 器 需 处 于 正常 工作 状态 ,并 配置 相应 域名 和 IP 地址 的 映射 。 

例如 : DNS 服务 器 上 ,配置 了 域名 www. abc. com 与 IP 地 址 11. 0. 0. 1 的 映射 ,如 图 4-1 
所 示 。 


4-1 www 属性 


根据 提供 的 业务 ,内 部 服务 器 需 做 相应 的 正确 配置 ,此 处 不 再 袭 述 。 建 议 内 网 用 户 可 以 尝 
试 通过 内 部 服务 器 的 IP 地 址 访问 内 部 服务 器 ,确保 内 部 服务 器 的 配置 正确 。 

(3) 确认 DNS 服务 器 位 置 

如 果 DNS 服务 器 位 于 公 网 ,请 跳 过 此 步 ,进入 步骤 4。 

如 果 DNS 服务 器 位 于 内 网 , 则 DNS 服务 器 返回 给 内 网 用 户 的 查询 结果 ,其 中 的 IP 地 址 
应 为 内 部 服务 器 的 地 址 。 此 时 ,内 网 用 户 应 可 以 通过 域名 访问 内 部 服务 器 。 

如 果 存 在 其 他 情况 ,请 拨打 热线 400-810-0504 寻求 帮助 。 

(4) 查看 出 口 路 由 器 公 网 接口 NAT 配置 

出 口 路 由 器 公 网 接口 需 存在 正确 的 NAT 配 置 。 

例如 : 以 下 命令 通过 NAT Outbound 3000 将 内 网 用 户 访问 公 网 相关 报 文 的 源 IP 地 址 做 
了 转换 ; 通过 NAT Server 配置 了 公 网 IP 地 址 与 内 部 服务 器 IP 地 址 的 映射 关系 。 

# 


acl number 3000 
rule 0 permit ip 
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# 

interface GigabitEthernet5/0/1 
port link-mode route 
nat outbound 3000 
nat server protocol tcp global 11.0.0.1 www inside 192.168.1.2 www 
nat server protocol tcp global 11.0.0.1 8080 inside 192.168.1.3 8080 
ip address 11.0.0.1 255.255.255.0 

# 


(5) 查看 出 口 路 由 器 DNS-ALG 配置 

内 网 用 户 通过 域名 访问 内 部 服务 器 时 ,出口 路 由 器 需要 使 能 DNS-ALG 功能 。 默 认 情 况 
下 ,H3C 路 由 器 DNS-ALG 功能 处 于 使 能 状态 。 

命令 : alg dns 

例如 : 通过 查看 出 口 路 由 器 配置 ,发 现 DNS-ALG 功能 并 未 使 能 ,使 用 命令 使 能 DNS- 
ALG 功能 。 


< H3C> displaycurrent-configuration 
undo alg dns 


<H3C>system 
[H3C]alg dns 


(6) 查看 出 口 路 由 器 DNS-MAP 配置 

如 果 内 网 中 存在 多 台 内 部 服务 器 为 用 户 提供 不 同 的 业务 (用 户 使 用 不 同 的 域名 ,来 访问 不 
同 的 内 部 服务 器 ) ,但 位 于 公 网 的 DNS 服务 器 中 ,这 些 不 同 的 域名 对 应 的 是 同一 个 公 网 地 址 ， 
此 时 需要 在 出 口 路 由 器 上 配置 DNS-MAP 功能 。 

命令 : nat dns-ma p domain domain-name protocol pro-type ip global-ip port global-port 

例如 : 内 网 存在 两 台 内 部 服务 器 ,内 部 用 户 使 用 域名 www. abc. com 访问 内 部 服务 器 
192. 168. 1. 2 ,使 用 域名 http://www. cba. com:8080 访问 内 部 服务 器 192. 168. 1. 3。 在 公 网 
DNS 服务 器 上 ,域名 www. abc. com 以 及 www. cba. com 对 应 的 IP 地 址 均 为 11. 0.0. 1。 

此 时 ,可 以 在 上 述 步骤 (4) 配 置 的 基础 上 ,添加 DNS-MAP 配置 。 


# 
nat dns-map domain www. abc. com protocol tcp ip 11.0.0.1 port www 
nat dns-map domain www. cba. com protocol tcp ip 11.0.0.1 port 8080 


# 
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gg m 7 TE 4.2.4 SR66 系列 路 由 器 电源 
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1. 开始 

SR66 系列 路 由 器 除了 SR6602 之 外 ,可 以 配置 两 块 或 两 块 以 上 电源 模块 ,从 而 达到 宛 余 
备份 ,路 由 器 电源 故障 会 对 客户 的 网 络 造成 极 大 的 影响 ,即使 是 单 电源 故障 也 会 给 客户 网 络 留 
下 极 大 的 隐患 ,所 以 一 旦 出 现 电 源 故 障 ,需要 在 第 一 时 间 判 断 是 否 为 电源 模块 问题 。 

排查 思路 : 首先 查看 电源 状态 ,然后 查看 电源 指示 灯 状 态 , 检 查 供电 及 电源 模块 安装 情 
况 , 最 后 进行 交叉 验证 。 

2. 流程 图 相关 操作 说 明 

(1) 通过 display power/display power-supply 命令 查看 电源 状态 

通过 该 命令 查看 电源 状态 是 否 为 Normal 状态 ,例如 


—<Sysname> display power-supply 

Chassis 1 power-supply information 
System Power Total : 1300 watts 
System Power Used(includes preassigned) : 800 watts 
System Power Preassigned : 225 watts 
System Power Usable : 500 watts 
Power No. Type Watts State ID 
1 AC 650 Normal 0 
2 AC 650 Normal 0 


如 果 电 源 状态 为 Normal 则 表示 电源 供电 正常 ,如 果 为 Failed 或 者 Absent 状态 则 为 不 正 
常 ,请 进行 下 一 步 操作 。 

SR66 系列 路 由 器 不 同 设备 对 display power/display power-supply 命令 的 支持 情况 不 一 
致 ,请 参照 命令 手册 。 

(2) 检查 电源 指示 灯 状 态 

电源 指示 灯 可 以 直观 地 显示 当前 电源 是 否 正常 工作 ,SR66 系列 路 由 器 有 两 种 电源 模块 ， 
它们 的 电源 指示 灯 略 有 差别 。SR6602-X 路 由 器 ,可 以 通过 观察 面板 的 PWR 指示 灯 , 而 
SR6604/08/16 以 及 -X 系列 路 由 器 则 观察 电源 模块 指示 灯 : 如 果 电 源 指示 灯 不 正常 ( 常 灭 或 
者 红 灯 常 亮 ) , 则 检查 电源 供电 情况 以 及 安装 是 否 正确 ; 如 果 电 源 指示 灯 正 常 (绿灯 ), 但 是 设 
备 依然 显示 为 非 Normal, 则 进行 交叉 测试 。 
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SR6602-X 电源 指示 灯 状 态 如 表 4-6 所 示 。 
表 4-6 指示 灯 状 态 及 说 明 


电源 状 态 说 明 
常 灭 电源 模块 不 在 位 
PWR1 绿灯 常 亮 电源 模块 供电 正常 
红 灯 常 亮 PWR2 供电 正常 是 PWR1 无 电源 输入 或 电源 模块 异常 
常 灭 电源 模块 不 在 位 
PWR2 绿灯 常 亮 电源 模块 供电 正常 
红 灯 常 亮 PWR1 供电 正常 是 PWR2 无 电源 输入 或 电源 模块 异常 


SR6604/08/16 以 及 -X 系列 路 由 器 电源 指示 灯 状 态 如 表 4-7 所 示 。 
表 4-7 指示 灯 状 态 及 说 明 


电源 R 态 说 “H 
常 灭 电源 模块 无 输入 
POWER 绿灯 常 亮 电源 工作 正常 
红 灯 常 亮 电源 出 现 故障 


(3) 检查 供电 以 及 安装 是 否 正常 

如 果 电 源 指示 灯 不 亮 或 者 电源 亮 红 灯 ,请 先 检查 一 下 电源 线 供 电 是 否 正 常 ,并 确保 电源 模 
块 安装 正确 。 

检查 电源 供电 正常 并 且 安装 正确 后 ,如 果 电 源 故 障 依然 没有 恢复 则 进行 交叉 替换 测试 。 

(4) 电源 模块 交叉 替换 测试 

最 后 需要 进行 电源 模块 的 交叉 替换 测试 ,按照 A-B-A 方法 测试 ,测试 过 程 如 下 。 

D 如 果 现 场 有 两 台 设 备 , 可 以 在 保证 单 板 正常 供电 的 情况 下 直接 进行 蔡 换 测试 ,将 故障 
电源 与 正常 机 框 电 源 互 换 , 观 察 是 否 正常 启动 ,替换 测试 完成 后 再 将 故障 电源 搬 回 原 机 框 , 观 
察 是 否 正常 启动 ( 单 板 供电 情况 ,可 通过 display power-supply 命令 查看 或 查看 相关 安装 
指导 ) 。 

@ 如 果 现 场 只 有 一 台 设备 ,需要 进行 断 电 测 试 ,将 故障 电源 与 正常 工作 电源 互 换 , 观 察 是 
和 否 正常 启动 ,然后 再 换 回来 ,观察 是 否 正常 启动 (单机 替换 测试 ,对 客户 业务 会 造成 影响 ,请 慎 
重 操作 ) 。 

如 果 电 源 故障 跟随 电源 模块 走 , 则 电源 模块 故障 ; 如 果 替 换 测试 后 电源 恢复 恢复 , 则 可 能 
为 其 他 问题 ; 以 上 两 种 情况 均 需 要 收集 步骤 4 相关 信息 ,联系 400 热线 处 理 。 

(5) 收集 信息 

请 反馈 测试 结果 并 收集 以 下 信息 ,并 联系 400 热线 处 理 : 四 电源 指示 灯 照 片 ; @ 设 备 诊断 
信息 ; @ 故 障 时 间 的 Logfile 文件 。 
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04 路 由 器 产品 4.2.5 SR66 设备 硬件 故障 排查 


1. 开始 

常见 SR66 设备 硬件 故障 可 分 为 环境 及 电源 硬件 状态 异常 ,风扇 故障 , 单 板 运行 故障 等 ， 
硬件 故障 排查 一 般 方法 为 : 最 常用 的 判断 方法 为 替代 测试 ,如 果 无 法 进行 替代 测试 可 根据 对 
应 设备 调试 命令 .诊断 信息 及 Logfile 信息 进行 判断 。 

2. 流程 图 相关 操作 说 明 

(1) 环境 状况 

各 传感器 温度 应 处 于 低温 告警 门限 与 一 般 级 高 温 告警 门限 之 间 ,如 出 现 异 常温 度 告警 , 若 
是 设备 工作 环境 不 佳 , 则 可 能 出 现 温度 超过 正常 工作 范围 的 情况 。 

O 温度 超过 其 上 限时 ,会 打印 类 似 如 下 信息 ,此 时 风扇 会 全 速 转动 以 降低 温度 ,建议 采取 
措施 改善 设备 工作 环境 的 散热 条 件 。 


%Feb 29 16:22:25:31 2008 H3C DRVMSG/3/Temp2High: 
Environment temperature too high in Slot 2, index is 1. 


© 超过 临界 温度 时 ,会 不 断 打印 类 似 如 下 信息 ,建议 立即 下 电 出 问题 的 单 板 , 以 免 烧 坏 
器 件 。 


WFeb 29 16:33:24:377 2008 H3C DRVMSG/3/TempCritical: 
CPU temperature critical in Slot 4, index is 1. 


@ SR6608 上 出 现 类 似 如 下 信息 时 ,建议 立即 断 掉 整 个 设备 的 电源 ,并 观察 有 没有 发 生 
起 火 。 


% Feb 29 16:06:24:377 2008 H3C DRVMSG/3/Temp2High: 
FAN temperature too high in Slot 9, index is 1. 


MS: display environment 
例如 : 通过 命令 查看 设备 当前 温度 为 slot0 24C slotl 26°C ,设备 温度 告警 上 限 53YC ,下 
ROC, 


<H3C>display environment 
Temperature information (degree centigrade) : 


SlotNo Temperature Lower limit Upper limit 
0 24 0 53 
1 26 0 53 


需要 反馈 : 设备 诊断 信息 ; @ 故 障 时 间 的 Logfile 文件 ; @@ 如 在 现场 ,可 感受 风扇 转速 
是 否 和 设置 转速 匹配 ,并 记录 ; @ 查 看 风扇 灯 的 状态 ,并 拍照 。 

(2) 风扇 状况 

如 果 风 扇 发 生 故障 , 则 会 打印 类 似 如 下 信息 ,SR6608 风扇 框 上 红色 ALM 灯会 常 亮 。 


%Feb 29 13:53:04:857 2008 H3C DEV/4/FAN FAILED: 
Fan 1 failed. 
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出 现 故 障 现象 时 ,按照 如 下 顺序 依次 排查 : 四 检查 是 否 少 安 装 了 风扇 ; @ 检 查 是 否 有 某 
个 风扇 停 转 ; @@SR6608 上 检查 风扇 框 是 否 插 紧 。 

SR6608 在 极端 的 情况 下 (风扇 框 温度 超过 120C ) ,风扇 也 会 停 转 , 并 提示 类 似 如 下 的 信 
息 , 此 时 请 尽快 断 掉 设备 的 电源 。 


WFeb 29 16:06:24:377 2008 H3C DRVMSG/3/Temp2High: 
FAN temperature too high in Slot 9, index is 1. 


命令 : display fan 
例如 : 通过 命令 显示 设备 风扇 工作 状态 为 Normal, 


[H3C] dis fan 
Index Status Speedlevel 


1 Normal 2 
需要 反馈 : O 设备 诊断 信息 ; @ 故障 时 间 的 Logfile 文件 。 
(3) 电源 状况 


如 果 电 源 指 示 灯 不 亮 , 则 可 能 电源 接 人 电缆 没有 插 紧 /开关 没 开 /电源 故障 ; 如 果 电 源 指 
示 灯 红色 常 亮 , 则 可 能 电源 模块 没有 搬 紧 /电源 故障 /其 他 故障 ; 如 果 电 源 指 示 灯 绿色 常 亮 ,但 
控制 台电 源 报警 , 则 有 可 能 电源 故障 /其 他 故障 。 

请 进行 相关 排查 或 替换 测试 。 

按照 A-B-A 方法 测试 ,测试 过 程 如 下 。 

O 如 果 现 场 有 两 台 设 备 , 可 以 在 保证 单 板 正常 供电 的 情况 下 直接 进行 替换 测试 ,将 故障 
电源 与 正常 机 框 电源 互 换 , 观 察 是 否 正常 启动 ,替换 测试 完成 后 再 将 故障 电源 插 回 原 机 框 , 观 
察 是 否 正 常 启 动 。( 单 板 供电 情况 ,可 通过 display power-supply 命令 查看 或 查看 相关 安装 
指导 ) 

@ 如 果 现 场 只 有 一 台 设 备 ,需要 进行 断 电 测试 ,将 故障 电源 与 正常 工作 电源 互 换 , 观 察 是 
和 否 正常 启动 ,然后 再 换 回 来 ,观察 是 否 正常 启动 。( 单 机 替换 测试 ,对 客户 业务 会 造成 影响 ,请 
慎重 操作 ) 

如 果 电 源 故障 跟随 电源 模块 走 , 则 电源 模块 故障 ; 如 果 替 换 测试 后 电源 恢复 , 则 可 能 为 其 
他 问题 。 

以 上 两 种 情况 均 需 要 收集 相关 信息 : 四 电源 指示 灯 照 片 ; 加 设备 诊断 信息 ; @ 故 障 时 间 
的 Logfile 文件 。 

MA: display power/display power-supply(SR66 系列 路 由 器 不 同 设备 对 命令 的 支持 
情况 不 一 致 ,请 参照 命令 手册 。) 

例如 : 显示 设备 电源 的 状况 为 Normal。 


< H3C> display power-supply 
Chassis 1 power-supply information 


System Power Total : 1300 watts 
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System Power Used(includes preassigned) : 800 watts 
System Power Preassigned : 225 watts 
System Power Usable : 500 watts 


Power No. Type Watts State ID 


(4) 指示 灯 状 况 

告警 灯 常 灭 ,为 正常 现象 ,如 告警 灯 常 亮 ,表示 设备 发 生 严重 问题 ,需要 立刻 查看 系统 日 志 
和 诊断 信息 。 

业务 板 或 主 控 板 的 RUN 灯 常 灭 , 请 查看 单 板 运行 情况 。 用 命令 查看 单 板 电 压 是 否 正常 。 

命令 : [ H3C-hidecmd ]tshow voltage information slot # 


例如 : 查看 设备 slot 3 槽 位 单 板 电压 是 否 正常 。 


[H3C-old-hidecmd]tshow voltage information slot 3 
Slot Index Normal Range Current 
3 0 1.10 0.99-1.21 1.11 
1.20 1.08-1.32 1.24 
1.50 1.35-1.65 1.52 
1.80 1.71-1.89 1.81 
2.50 2.37-2.62 2.52 
3.30 3.13-3.46 3.32 
5.00 4.75-5.25 5.04 
0.00 0.00-0.00 0.00 


w w w w w w 
品目 中 wo 


需要 反馈 : 设备 诊断 信息 ; @ 故 障 时 间 的 Logfile 文件 。 

(5) 单 板 运行 状况 

所 有 业务 板 应 该 是 Normal, 主 控 板 为 Slave、master 状态 ,出 现 Startup 一 般 为 故障 ,需要 
MR ERMIR: 用 命令 查看 单 板 电压 是 否 正常 ; 人 员 在 现场 时 ,首先 查看 单 板 灯 的 状态 ,并 
拍照 ; 蔡 换 测试 时 ,可 以 在 线 卡 / 主 控 的 调试 串口 上 插 一 个 串口 线 , 如 果 在 启动 的 初始 阶段 出 
现 内 存 检 测 错误 的 提示 ,可 以 进行 内 存 插 拔 、 除 尘 操作 。 

MA: [ H3C-old-hidecmd jJtshow voltage information slot # 

例如 : 查看 设备 slot 3 槽 位 单 板 电压 是 否 正常 。 


[H3C-old-hidecmd]tshow voltage information slot 3 
Slot Index Normal Range Current 
3 0 1.10 0.99-1.21 1.11 
3 £ 1.20 1.08-1.32 1.24 
3 2 1.50 1.35-1.65 1.52 
3 3 1.80 121 1:89 1.81 
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2.50 2.37-2.62 2.52 
3.30 3.13-3.46 3.32 
5.00 4.75-5.25 5.04 
0.00 0.00-0.00 0.00 


wan = 


ww w w 


命令 : display device 
例如 : 设备 板 卡 FIP-20 在 槽 位 1 上 状态 为 Normal。 


<H3C>display device 
System-mode(Current/After Reboot): Normal/Normal 


Slot No. Board type Status Primary SubSlots 
0 SR6602-X1 Normal Master 0 
1 FIP-20 Normal N/A 2 


(6) 主 控 板 开机 或 运行 过 程 重启 

常见 有 下 面 3 种 情况 。 

O 找 不 到 启动 文件 ,确认 启动 文件 本 身 是 否 正常 或 CF 卡 故 障 导致 启动 文件 异常 ,此 时 可 
以 按 Ctrl 十 F 键 格式 化 CF 卡 后 重新 加 载 启动 文件 ,如 格式 化 过 程 报错 ,反馈 启动 过 程 .操作 过 
程 。 

© 检查 运行 指示 灯 ,如 果 运 行 指 示 灯 不 亮 , 有 两 种 可 能 性 : 设备 没有 上 电 ; Bootware 基 
本 段 被 破坏 。 

@ 可 能 是 内 存 或 CPU 本 身 有 问题 。 对 于 SR6602/02X, 由 于 不 能 开机 箱 ,反馈 启动 过 程 ; 
对 于 其 他 设备 ,可 以 将 内 存 拔 掉 测试 。 

需要 收集 : 四 设备 启动 过 程 、. 诊 断 信息 ; @ 故 障 时 间 的 Logfile 文件 ; @coredump。 

(7) 新 加 入 主 控 板 无 法 启动 

常见 有 下 面 3 种 情况 。 

O 同一 设备 两 块 主 控 板 要 求 为 同样 型 号 ,如 不 一 致 ,需要 更 换 解决 。 

@ 同一 设备 两 块 主 控 板 要 求 使 用 同样 版 本 ,新 加 入 主 控 无 法 启动 。 

@ 内 存 : 使 用 备用 主 控 板 自身 的 Console 口 连接 Console 线 ,查看 启动 状态 .内 存 大 小 是 
否 相 同 。 

需要 收集 : 启动 过 程 ; @ 设 备 诊断 信息 ; @ 故 障 时 间 的 Logfile 文件 。 

(8) 业务 板 开 机 或 运行 过 程 重启 

O 在 板 卡 发 生 故 障 的 时 候 , 观 察 灵活 接口 平台 上 的 电源 指示 灯 是 否 灭 掉 ,同时 收集 诊断 
信息 ; 在 诊断 信息 中 ,如 果 故 障 线 卡 的 reboot information 信息 记录 了 多 次 非 正常 的 cold 冷 启 
动 记录 , 则 是 电源 问题 导致 的 故障 。 

© 使 用 同样 方法 确认 设备 上 其 他 灵活 接口 平台 是 否 有 类 似 故障 现象 。 如 果 其 他 板 卡 也 
有 类 似 故障 现象 则 说 明 是 系统 电源 模块 出 问题 ,如 果 其 他 板 卡 都 正常 ,说明 是 板 卡 自身 问题 。 

O 需要 收集 信息 。 

(a) 记录 主 控 板 、 灵 活 接口 平台 Console 口 输出 信息 。 

(b) 收集 诊断 信息 和 CF 卡 上 的 Logfile 日 志文 件 。 
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ETN a 4.3.1 ER 系列 路 由 器 掉 线 
04 中 由 六 产品 T sms 


1. 开始 

ER 系列 路 由 器 采用 全 Web 方式 操作 ,定位 于 中 小 企业 、 网 吧 A H BJ 36 a e À. AR 
据 客户 网 络 的 接 人 特点 。 所 以 定位 故障 的 思路 为 : 先 检查 硬件 ,其 次 检查 配置 ,最 后 根据 故障 
发 生 的 网 络 层次 进行 定位 (硬件 一 配置 -~ 二 层 一 三 层 ) 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 端口 指示 灯 状 态 

检查 ER 路 由 器 端口 指示 灯 , 是 否 掉 线 时 有 : 端口 灯 闪 断 (端口 有 短 时 间 中 断 )、 灯 全 亮 、 
灯 全 灭 .LAN 接口 同时 快 闪烁 的 异常 问题 。 

(2) 端口 协商 双 工 状态 

检查 ER 路 由 器 端口 指示 灯 状 态 ,如 表 4-8 所 示 ,是 否 存在 协商 异常 问题 。 


表 4-8 ER 路 由 器 端口 指示 灯 状 态 


指示 灯 状态 & x 
亮 供电 正常 
Power 
x 电源 关闭 或 电源 故障 
WWE 亮 物理 链 路 存在 ,并 建立 连接 
x 物理 链 路 存在 ,但 未 建立 连接 或 物理 链 路 不 存在 
iooni 亮 端口 工作 在 100Mbps 
x 端口 工作 在 10Mbps 或 链 路 未 建立 
亮 端口 工作 在 1000Mbps 
1000M 
x 端口 工作 在 10/100Mbps 或 链 路 未 建立 
亮 链 路 建立 
Link/Act 闪烁 端口 在 收发 数据 
灭 链 路 未 建立 


登录 ER 路 由 器 Web 页 面 ,检查 WAN 端口 配置 是 否 正 常 。 具 体操 作为 页 面向 导 : 接口 
设置 WAN 设置 一 网 口 模式 。WAN 网 口 连 接 速度 和 双 工 模式 如 图 4-2 所 示 。 


WAN 网 口 连 葆 速度 和 双 工 模式 
WAN 网 口 1 : @ Auto 
O 10M 交工 
© 10M 全 双 工 
O 100M 半 双 工 
© 100M 全 双 工 


4-2 WAN 网 口 连接 速度 和 双 工 模式 


检查 LAN 端口 配置 是 否 正常 。 具 体操 作为 页 面向 导 : 接口 设置 ~LAN 设置 一 端口 设 
置 。 端 口 设 置 如 图 4-3 所 示 。 

(3) 排查 端口 环 路 

当 LAN 接口 Link/Act 灯 出 现 同时 快 闪烁 时 , 需 排查 是 否 因 端口 环 路 造成 掉 线 。 
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端口 设置 允许 您 为 设备 LAN 口 设置 工作 模式 、 广 播 风 暴 抑 制 、 流 控 等 屡 性 。 
So ROER ränna 流 控 启用 
LAN1 Auto 图 [Tes s o 
LAN2 Auto ` 不 抑制 男 口 
LAN3 Auto ` kšu 加 口 
广 意 : 广播 风暴 抑制 功能 各 个 LAN 口 必须 设置 成 一 致 
Cem) 
4-3 端口 设置 


因 ER 路 由 器 不 支持 STP, 建 议 先 排查 下 联 交换 机 是 否 存 在 环 路 。 
ER 路 由 器 可 以 通过 设置 “广播 风暴 抑制 ?为 高 ,如 图 4-4 所 示 , 可 暂时 规避 使 得 现象 缓解 ， 
此 时 必须 排查 解决 下 联网 络 环 路 问题 。 具 体操 作为 页 面向 导 : 接口 设置 ~LAN 设置 一 端口 


设置 。 


图 4-4 设置 “广播 风暴 抑制 "为 高 


(4) 收集 抓 包 信息 
通过 ER 路 由 器 的 镜像 功能 ,收集 端口 灯 异 常 时 的 抓 包 信息 ,反馈 给 呼叫 中 心 分 析 。 具 体 


操作 为 页 面向 导 : 端口 管理 一 端口 配置 一 端口 镜像 。 端 口 镜像 如 图 4-5 所 示 。 


Sk psaq aet pre erne 实时 提供 各 端口 传输 状况 的 详细 资 
方便 网 络 管理 人 员 进 行 流量 监控 、 性 能 分 析 和 故障 诊断 ， 


ERRO 
a| 


2 
K 
[m] 


(5) 配置 是 否 正确 

检查 ER 路 由 器 是 否 按 照 用 户 手 册 中 “典型 组 网 配置 举例 ”章节 配置 设备 。 

《H3C ER 系列 路 由 器 用 户 手 册 ) 可 在 H3C 中 文 网 站 中 获取 ,具体 操作 为 首页 一 服务 支 
持 一 文档 中 心 一 路 由 器 一 H3C ER 系列 路 由 器 。 

(6) 配置 检查 

检查 ER 路 由 器 配置 关键 点 是 否 按照 要 求 配置 ,以 下 是 为 具体 配置 内 容 。 

O 检查 登录 账号 密码 是 否 有 弱 口 令 风 险 ,建议 关闭 Web 和 Telnet 的 远程 访问 。 具 体操 
作为 页 面向 导 : 设备 管理 一 用 户 管 理 一 远程 管理 。 

© 检查 ARP 防 攻击 是 否 配置 .执行 “安全 专区 一 ARP 安全 一 ARP 防护 ”命令 ,选中 “检测 
ARP 攻击 时 ,发 送 免 费 ARP 报 文 " 复 选 框 ,如 图 4-6 所 示 。 
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Rs 免费 ARP 发 送 间 隔 越 小 ， 主机 防 ARP 攻 击 
+ 但 对 网 络 整体 性 能 影响 越 大 。 


回 ”机 本 |ARP 攻 击 时 ， 发 送 免费 ARP 报 文 
LAN 内 主动 发 送 免费 ARP 报 文 ， 发 送 间隔 : |50 毫秒 (范围 :10~1800000, 默认 值 :50) 
WAN 口 主动 发 送 免费 ARP 报 文 ， 发 送 间隔 : |50 毫秒 (范围 :10~1800000, 默认 值 :50) 


CE 
4-6 免费 ARP 


@ 检查 设置 QoS 设置 。 是 否 填写 WAN 真实 带宽 。 起 止 IP 是 否 包含 全 部 上 网 IP 地 址 。 
设置 上 下 行 限 速 是 否 合理 。 具 体操 作为 页 面向 导 : QoS 设置 一 流量 管理 IP 流量 限制 。 
IP 流量 限制 如 图 4-7 所 示 。 


IP 流 量 限制 


万。 启用 IP 流 量 限制 
C 。 允 许 每 IP 通 道 异 用 空闲 的 带宽 
C O 诗 IP 通 道 只 能 使 用 预 设 的 带宽 


Mbps( 请 设置 与 运营 商 分 配 的 带宽 值 一 致 ， 否则 会 导致 限 加 不 准确 ) 


Wm: u sssi 先 匹配 先生 效 。 


BARPNE: 司 =ə=: an |_m=+= | 
300 


Ë 1 192.168.1.2 192.168.1.254 


图 4-7 IP 流 量 限制 


@ 检查 NAT 连接 数 限制 。 具 体操 作为 页 面向 导 : QoS 设置 一 流量 管理 一 IP 流量 限制 一 
添加 限 速 规则 。 网 络 连接 限 数 一 一 网 页 对 话 框 如 图 4-8 所 示 。 


I 网 络 连 按 腿 数 网 页 对 话 框 
ZAS: [BE 
IP 起 始 地 址 ; 192. 168. 0. 2 
IP 结 束 地 址 ， 192. 168. 0. 254 
拟 IP 网 络 连接 数 上 限 : 300 {范围 :0~10000) 
Hië: 


(可 选 , 范围 :1~15 个 字符 ) 


CoE] 


[ħttp://192. 168.0. 1/ipqos_natconn_cfg. asp7datetine=Wed F @ Internet 


4-8 网 络 连接 限 数 一 一 网 页 对 话 框 


如 果 配 置 内 容 较 多 ,应 用 内 容 复杂 ,建议 先 备 份 ER 路 由 器 设备 配置 ,恢复 出 厂 设置 后 逐 
步 增加 配置 项 测试 。 注 意 恢复 出 厂 设置 前 , 需 备 份 用 户 设备 配置 。 具 体操 作为 页 面向 导 : 设 
备 管理 一 基本 管理 ~ 配置 管理 。 各 过 程 截 图 如 图 4-9 所 示 。 

如 果 ER 路 由 器 Web 页 面 内 容 与 本 指导 有 差异 ,建议 升级 ER 路 由 器 版 本 后 进行 配置 。 
软件 版 本 可 从 H3C 中 文 网 站 获取 ,ER 路 由 器 升级 页 面 位 置 。 具 体操 作为 页 面向 导 : 设备 管 
理 一 基本 管理 一 软件 升级 。 
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备份 系统 设置 信息 


sa oem te. soarci | 
从 文件 中 恢复 设置 信息 


PEADRA 志 择 一 个 以 前 备份 的 文件 ， Ses dks Ea, 
RIUS SIP sis tts. Cg) 
rs 


广 意 : 恢复 设置 之 后 ， 设 备 格 重 启动 。 


击 * 复 原 > 控 钮 ,当前 的 所 有 设置 都 格 恢 复 到 出 厂 时 的 初始 状态 ,恢复 完成 


4-9 过 程 截图 


说 明 : V10XRXX 系列 软件 版 本 ,只 能 升级 V10X 系列 设备 硬件 ; V20X 系列 软件 ,只 能 
升级 V20X 系列 设备 硬件 。 

(7) 二 层 是 否 掉 线 

根据 用 户 反馈 现象 ,是 否 因为 过 二 层 原 因 造 成 的 掉 线 ,例如 : 四 用 户 反馈 掉 线 时 ,PC 之 间 
互 访 也 存在 丢 包 或 不 通 ; @ 根 据 掉 线 用 户 的 分 布 ,为 单个 交换 机 下 所 有 用 户 类 掉 线 或 PC 互 访 
存在 问题 ; 加 复制 内 网 文件 时 存在 掉 线 问题 。 

如 出 现 上 述 现象 ,建议 按 网 络 层 ,排查 是 否 为 二 层 转 发 问题 。 

(8) 检查 ER 路 由 器 LAN 端口 

检查 ER 路 由 器 LAN 接口 是 否 存在 大 流量 互 访 流量 。 具 体操 作为 页 面向 导 : 系统 监 
控 一 流量 监控 习 IP 流量 。IP 流量 情况 如 图 4-10 所 示 。 


WI 。 ”发 送 流量 (bit) 接收 流量 (bit) 。 发 送 速率 (kbps) “接收 速率 (Kbps) 链 路 状态 
2.97661G 28.6354M 356.796 36.313 一 一 一 | 一 一 一 
[LAN2 | 2.576336 | Ces2536] | 0 | 


[ LAN3 | FAREA] 
[wan | [ioreM | 3231298] 4. = 


图 4-10 ”IP 流量 情况 


如 图 4-10 所 示 ,如果 LAN 接口 之 间 , 短 时 间 存 在 大 流量 情况 ,需要 检查 流量 是 否 超 过 端 
口 速率 导致 的 丢 包 。 

检查 ER 路 由 器 LAN 接口 设置 ,关闭 流 控 开关 ,同时 在 下 联 的 交换 机 口 关闭 流 控 开关 ,如 
图 4-11 所 示 。 


端口 设置 允许 您 为 设备 LAN 口 设置 工作 模式 、 广 播 风 暴 抑 制 、 流 控 等 属性 。 
So fiai: E ranna 流 控 启用 
LAN1 Auto ` 不 抑制 图 口 
LAN2 Auto 加 [Fü x o 
LAN3 Auto ` 不 抑制 图 口 
广 意 : 广播 风暴 抑制 功能 各 个 LAN 口 必须 设置 成 一 致 . 
œ 


图 4-11 关闭 流 控 开 关 
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将 用 户 组 网 修改 ,只 接 一 个 LAN 接口 上 行 ,排除 二 层 流量 经 过 ER 造成 的 掉 线 问题 。 依 
据 此 步骤 可 排除 ER 路 由 器 二 层 掉 线 问题 , 需 对 下 联 交 换 机 等 设备 进行 故障 排查 。 

(9) 三 层 掉 线 问 题 

根据 上 一 步 故 障 现象 判断 ,用 户 流量 经 过 ER 路 由 器 后 产生 掉 线 问 题 。 此 类 问题 按 用 户 
可 划分 为 部 分 用 户 掉 线 、 全 部 用 户 掉 线 ; 根据 时 间 分 类 为 特定 时 间 、 随 机 时 间 掉 线 ; 根据 特定 
条 件 划分 为 特定 用 户 软件 、 特 定 流量 触发 掉 线 。 上 述 问题 一 般 需 要 收集 ER 路 由 器 信息 ,提供 
呼叫 中 心 热线 做 进一步 分 析 和 观察 。 

三 层 掉 线 问 题 后 续 步 又 中 给 出 部 分 可 确认 故障 类 型 作为 判断 和 解决 方法 。 如 无 法 解决 ， 
需 联 系 呼叫 中 心 收集 故障 信息 。 

(10) 限 速 不 当 导 致 掉 线 

ER 路 由 器 支持 IP QoS 限 速 , 需 根据 实际 带宽 和 使 用 情况 进行 限 速 , 限 速 不 当 可 能 导致 
单个 用 户 或 部 分 用 户 异常 掉 线 。 

GQ 例 1: 如 图 4-12 所 示 , 单 个 用 户 掉 线 问题 的 排查 。 具 体操 作为 页 面向 导 : 系统 监控 一 
流量 监控 一 IP 流量 。 


在 线 主机 数 :29 在线 主机 的 网 络 连接 总 数 :1552 


š : 
192.168.1.40 | 12.2893G | 1054.902 33.148 1055.146 1021.754 
192.168.1.13 | 70.8626M | 1070.426 57.133 1014.254 1013.293 
192.168.1.5 29.4964G | 1075.774 1013.1 1019.612 


192.168.1.23 | 1.82341G | 1053.252 1027.468 


192.168.1.62 100.039G | 1081.358 
192.168.1.51 1.24569G | 652.163 
192.168.1.34 | 2.63621G 
192.168.1.56 | 14.5500G 
192.168.1.55 | 606.057M 


第 1 页 / 共 4 页 共 29 条 记录 每 页 | 9° maa r Baj» 
图 4-12 IP 流 量 情况 


如 图 4-12 所 示 ,用 户 下 行 限 速 为 1024Kbps, 反 馈 异常 用 户 IP 为 192. 168. 1. 62 ,从 统计 看 
流量 已 经 占 满 导致 掉 线 。 此 类 问题 需要 用 户 关闭 占用 带宽 的 应 用 或 在 路 由 器 上 合理 调整 限 速 
带宽 。 具 体操 作为 页 面向 导 : QoS 设置 流量 管理 习 IP 流量 限制 ,修改 每 IP 上 /下 行 流量 上 
限 。 修 改 每 IP 上 /下 行 流量 上 限 如 图 4-13 所 示 。 


RAFS: 最 后 国 
IP 起 始 地 址 : 192. 168. 0.1 
IP 结 束 地 址 : 192. 168. 0. 200 
RESH: RARE | 
限 速 接口 : wani i] 
SIPETRELR: 3000 Kbps( 范 围 :1~100000) 
每 IP 下 行 流量 上 限 : 3000 Kbps( 范 围 :1~100000) 
ja: (可 选 ,范围 :1~15 个 字符) 
c [下 可 


图 4-13 修改 每 IP 上 /下 行 流量 上 限 
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© 例 2: 用 户 反馈 部 分 用 户 存在 掉 线 情况 ,需要 查看 ,总 带宽 是 否 已 经 占 满 。 具 体操 作 
是 :“ 页 面向 导 : 系统 监控 一 流量 监控 一 端口 流量 。? 端 口 流量 情况 如 图 4-14 所 示 。 


端口 ， 发 送 流量 (bit) ”接收 流量 (bit) 发送 速率 (Kbps) — 接收 速率 (Kbps) 链 路 状态 
220.295G 168.958G 4.473 3.016 100M 全 观 工 
0 0 0 0 


348.559G 328.995G 2151.207 2065.412 
486.832G 577.368G 1830.888 2039.192 100M 全 双 工 


图 4-14 端口 流量 情况 


如 图 4-14 所 示 ,用 户 总 带宽 为 2Mbps, 但 用 户 WAN 接收 速率 已 经 接近 2Mbps, 导 致 用 
户 掉 线 。 此 类 问题 可 在 路 由 器 上 调整 WAN 总 带宽 或 向 运营 商 申 请 更 高 带宽 。 具 体操 作为 


页 面向 导 : QoS 设 置 一 流量 管理 一 IP 流量 限制 ,调整 WAN 带宽 。IP 流量 限制 如 图 4-15 
所 示 。 


E) 启用 1P 流 量 限制 
[Ol 区 许 每 1P 通 道 漠 用 空闲 的 带宽 
O 每 IP 通 道 只 能 使 用 预 设 的 带宽 


WAN1 带 宽 ; |2 Mbps( 请 设置 与 运营 商 分 配 的 带宽 值 一 致 ，, 否则 会 导致 限 连 不 准确 ) 
WAN2 带 宽 : |2 Mbps( 请 设置 与 运营 商 分 配 的 带宽 值 一 致 ，, 否则 会 导致 限 过 不 准确 ) 


[| 
图 4-15 ”IP 流量 限制 


(11) 设备 异常 导致 掉 线 
出 现 所 有 用 户 掉 线 时 , 需 登 录 ER 路 由 器 ,检查 ER 路 由 器 日 志 , 是 否 有 蜡 常 日 志 。 例 如 


设备 重启 .WAN LAN 接口 Up/Down 信息 .CPU 、 内 存 占用 高 告警 等 日 志 。 具 体操 作为 页 面 
向 导 : 系统 监控 一 系统 日 志 一 日 志 信息 。 日 志 信息 如 图 4-16 所 示 。 


提示 : 点 击 日 志 信 息 的 各 属性 标题 ， 可 进行 排序 ; 双击 日 志 表 项 ， 可 查看 该 日 志 详 细 信 息 和 操作 建议 。 
查询 项 : [日 期 E] xer: [M a] 
La 日 期 时 间 a= 信息 内 容 
2013-06-09 10:15:06 Ds WAN 接 口 接收 流量 已 超过 设 定 带宽 值 的 90%。 
" 2013-06-09 10:14:36 Notice TRET WAN 接 口 的 DHCP 客 户 端 成 功 获 取 到 IP 地 址 10.165.16.. 
HB) 2013-06-09 10:14:33 Debug ”系统 DHCP 客户 端 人 WAN 吕 请求 IP 地 址 10.165.16.172。 
D 2013-06-09 10:14:33 Debug ”系统 DHCP 客户 端 从 WAN 口 发 送 DISCOVERY 报 文 。 
国 2013-06-09 10:14:29 Notice 系统 。 ”DHCP 客户 端 从 WAN 口 释放 IP 地 址 10.165.16.172。 
IH 2013-06-09 10:14:26 Debug ”流量 信息 WAN 接口 接收 流量 已 超过 设 定 带宽 值 的 90%。 


4-16 日 志 信 息 


O 如 果 有 出 现 掉 线 时 间 和 ER 路 由 器 重启 时 间 大 致 一 致 , 需 搭建 本 地 日 志 服 务 器 ,将 日 

志 发 送 到 内 网 服务 器 上 ,在 服务 器 上 搭建 Syslog Server 接收 日 志 , 判 断 是 否 为 非法 用 户 登 录 

设备 造成 重启 ;如 有 此 情况 可 针对 性 的 : 修改 ER 路 由 器 登录 账号 密码 .关闭 远程 管理 .关闭 

SNMP 功能 。 如 图 4-17 所 示 ,Jun 27 10:34:53 用 户 admin 登录 后 ,Jun 27 10:34:57 系统 开始 
重启 , 则 可 能 为 admin 用 户 操作 重启 。 
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查看 Who 


192.168.0.1 2000-01-01 [Notice] : 
192.168.0.1 2000-01-01 [Notice] : l: H EA 168 .9-1724。 
192.168.0.1 2000-01-01 [Notice] : A Es DER 

-6.1 2000-01-01 [Notice] : 物理 连接 已 成 功 。 


adnin/\192.168. 0.3 Telnet: 


27 10:34:53 192.168.8.1 2000-01-01 inrormatinnall š 


[Notice] : 


3n: 192.168.0.1 2000-01-01 


-0.4 2000-01-01 8 [Notice] : 
192.168.0.1 2000-01-01 8! [Notice] : LANN YE 
192.168.0.1 2000-01-01 9I [Informational] : Finin pii. 168.0. 3 登录 。 
192.168.0.1 2000-01-01 O| [Informational] : SMMP ape 用 。 
192.168.0.1 2000-01-01 O| [Notice] : web 管 理 开 启 
192.168.0.1 2000-01-01 00:01:89 [Notice] : Telnet 管 理 并 启 。 
192.168.0.1 2000-01-01 00:03:34 [Notice] : EDESA 


4-17 Syslog Server 接收 日 志 


@ 如 果 在 掉 线 时 ,日 志 出 现 WAN sk LAN 物理 接口 Up/Down 情况 ,可 尝试 更 换 网 线 。 
如 图 4-18 所 示 ,2013-06-09 10:19:15 WAN.LAN 物理 接口 出 现 断 开 情况 ,可 相应 地 查看 客户 
端 掉 线 时 间 是 否 与 其 吻合 。 


提示 : 点 击 日 志 信息 的 各 属性 标题 ， 可 进行 排序 ; 双击 日 志 表 项 ， 可 查看 该 日志 详细 信息 和 操作 建议 。 


查询 项 : bm Ed Me | 


[ER 全 上 内 


2013-06-09 10:19:16 Notice DHPEPMAWANGANIPAE 10. 165.16.172. 


LANZNDETEREES. 


LAN1 端 口 物理 连接 已 断 开 。 


图 4-18 日 志 信息 


@ 如 果 在 掉 线 时 出 现 ER 路 由 器 CPU ,内 存 占用 高 ,可 尝试 设备 防 攻击 设置 ,开启 异常 流 
量 防护 功能 或 在 掉 线 时 抓 包 联系 呼叫 中 心 进行 分 析 。 如 图 4-19 所 示 2013-06-09 10:19:07 
CPU 使 用 率 超 过 90% ,可 相应 地 查看 客户 端 掉 线 时 间 是 否 与 其 吻合 ,开启 设备 的 防 攻击 设 
尝试 是 否 解决 。 


日 志 信 息 
提 ; 击 日 志 信 息 的 各 属性 标题 ， 可 进行 排序 ; 双击 日 志 表 项 ,可 查看 该 日 志 洋 细 信 息 和 操作 建议 。 


查询 项 : [日 期 E] 关键 字 : [请 选择 可 sis j mem j 
| | 6 | 6 ans 
国 2013-06-09 10:19:16 Notice DHCP 客 户 端 从 WAN 口 释放 IP 地 址 10.165.16.172。 


国 2013-06-09 10:19:15 Notice 3 WAN 接 口 物理 连接 已 断 开 。 
Notice 系统 。 ”LAN2 端 口 物理 连接 已 断 开 。 


LAN2 端 口 物理 入 接 已 成 功 。 
2013-06-09 10:19:01 Notice 系统 。 LAN1 端 口 物理 注 接 已 成 功 。 
2013-06-09 10:18:53 Infor..， ”系统 ”用 户 admin 从 192.168.0.3 通 过 Telnet 登 录 设备 。 


m 
E 
[L 


4-19 日 志 信息 显示 异常 
(12) 收集 故障 信息 
当 以 上 方法 均 无 法 解决 时 ,需要 收集 ER 路 由 器 相关 信息 联系 呼叫 中 心 进行 分 析 , 相 关 操 
作 如 下 。 
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故障 发 生 时 的 设备 信息 收集 , 需 登 录 ER 路 由 器 Web 页 面 收 集 。 具 体操 作为 页 面向 导 : 
系统 监控 一 网 络 维护 一 一 键 导出 。 

搭建 Log 日 志 服务 器 ,判断 设备 掉 线 异 常 时 设备 是 否 有 相关 日 志 上 报 。 具 体操 作为 页 面 
向 导 : 系统 监控 ~ 系统 日 志 一 日 志 管 理 , 设 置 日 志 等 级 为 “debug(7)? ,选中 发 送 到 日 志 服务 器 
复 选 框 , 填 写 内 网 IP 地 址 。 过 程 截图 如 图 4-20 所 示 。 


日 志 管理 
BERS debug) — E] 
GEESA 后 系统 万 配置 万 安全 网 流量 信息 M VPN 


日 志 服 务 器 


F 项 洋 到 日 志 服务 器 “2416681233 


D 。 本 地 不 记录 日 志 (新 生成 的 日 志 不 被 记录 ， 无 法 通过 "日 志 信 息 "页 面 查看 ) 


提示 : 日 志 信 息 只 记录 指定 来 源 并 且 等 级 数值 不 大 于 日 志 记录 等 级 数值 的 日 志 信 息 。 


4-20 ”过程 截图 


搭建 抓 包 环境 ,例如 在 LAN3 口 接 一 台 抓 包 PC, 将 WAN 端口 ,LAN 业务 端口 镜像 到 


LAN3 H PC 上 。 具 体操 作为 页 面向 导 : 端口 管理 一 端口 配置 一 端口 镜像 。 端 口 镜像 如 图 4-21 
所 示 。 


端口 镜像 能 蚁 格 被 镜像 端口 的 报 文 自动 复制 到 镜像 端口 ,实时 提供 各 端口 传输 状况 的 详细 资 
ËL, 方便 网 络 管理 人 员 进 行 流量 监控 、 性 能 分 析 和 故障 诊断 ， 

fala] neso RERO 

WAN = 区 

LAN1 n 区 

LAN2 m| 区 

LAN3 区 r 

图 4-21 端口 镜像 


将 以 上 信息 收集 整理 ,并 详细 了 解 故障 现象 和 网 络 拓扑 后 ,求助 呼叫 中 心 处理 。 


= z 4.3.2 ER 系列 路 由 器 忘记 N 


ER £ |Ë g E Z, 42, Š 423 6k Fš JE $ 向 


— kijat F 


=== kitja we) 


R 
A 
* 


* * 
是 否 可 进 入 < 
wef #c R 1 ° x 


Hn W 43 88 4 T 
# 8 ñ 3 62 3 T 


* 


通 + R 1 E, 
1 9 43 l Ë 
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samana x === 4.3.2 ER 系列 路 由 器 忘记 
DDD 


1. 开始 

ER 系列 路 由 器 一 般 采 取 Web 方式 登录 和 管理 ,其 Console 端口 提供 设备 在 Web 无 法 登 
录 或 Web 忘记 账号 密码 时 应 急 恢 复 的 功能 。 所 以 定位 故障 的 思路 为 : 先 判 断 是 否 能 进入 
Web 登录 页 面 , 然 后 尝试 是 否 能 够 通过 * 密 码 提示 ? 找 回 密码 ,最 后 需 通过 Console 口 进行 
恢复 。 

2. 流程 图 相关 操作 说 明 

(1) 是 否 可 进入 Web 登录 页 面 

输入 ER 路 由 器 的 Web 登录 地 址 ,查看 是 否 可 以 进入 Web 登录 页 面 ,如 图 4-22 所 示 是 
ER3108GW 通过 http://192. 168. 1.1 登录 的 首页 。 


| C R31086T 系 统管 理 - windoews Internet Explorer = D| x] 


e> pim 1. 17userLosin an | effei sea lz 
A gmoarsse = | A-A- 24 


图 4-22 Web 登录 页 面 
说 明 : 
D Web 页 面 无 法 显示 ,请 更 换 不 同 浏览 器 尝试 登录 ! 
© ER 路 由 器 Web 登录 地 址 可 以 通过 以 下 方 
式 获取 。 上 本 地 连接 状态 
° ER 路 由 器 的 默认 的 登录 地 址 为 http:// 
192. 168. 1.1, 可 尝试 以 此 默认 地 址 登录 。 
。 在 ER 路 由 器 LAN 接口 下 ,管理 PC 
DHCP 获取 的 网 关 地 址 一 般 为 ER 路 由 器 
的 Web 登录 地 址 。 如 图 4-23 所 示 , 管 理 
PC 本 地 连接 的 默认 网 关 为 10. 165. 16.1， 
可 尝试 以 此 默认 网 关 http://10. 165. 16. 1 4-23 ”默认 网 关 
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登录 。 
° 在 ER 路 由 器 LAN 接口 下 ,管理 PC DHCP 无 法 获取 地 址 ,可 尝试 Console 口 下 输入 


ip address 命令 并 回 车 ,如 下 所 示 , 即 可 显示 路 由 器 LAN 口 的 IP 地址 ,通过 手工 设置 
PC 的 默认 网 关 地 址 登录 。 


<H3C>ip address 

The LAN interface information: 
IP address: 192.168.1.1 
Mask: 255.255.255.0 


(2) 输入 密码 错误 时 是 否 有 密码 提示 


ER 路 由 器 Web 登录 页 面 上 输入 默认 的 用 户 名 和 密码 admin/admin, 尝 试 是 否 可 以 登录 ， 
用 户 密码 错误 ,是否 出 现 密码 提示 ,如 图 4-24 所 示 。 


在 记 密 码 ? 


2KJU 
误 ， 请 重新 输入 9 


H3C | 7a | 


推荐 分 辩 率 1024*T68 


图 4-24 输入 密码 错误 提示 

说 明 : 

O 登录 用 户 名 为 admin, 密 码 区 分 大 小 写 , 支 持 1 一 31 位 英文 状态 下 的 字符 。 
O 如 果 页 面 没有 “密码 提示 ”信息 , 则 可 能 的 原因 如 下 。 

° ER 路 由 器 软件 版 本 非 最 新 版 本 ,此 版 本 不 具备 “密码 提示 ”功能 。 

。 设置 登录 用 户 名 密码 时 ,未 在 密码 管理 内 设置 密码 提示 内 容 , 如 图 4-25 所 示 。 


H3C nc ERsioscw = 


RER: (范围 :1~31 个 字符 ) 


sem [O O OO m 
WUER: 


(范围 


密码 提示 : EE me 


， 范围 :1~15 个 宇 符 ) 


注意 : 密码 区 分 大 小 写 ， 支 持 1-31 位 英文 状态 下 的 字符 . 
建议 : 强烈 建议 您 填写 密码 提示 ,以免 右 记 密 码 后 ,没有 任何 提示 信息 。 


a] 


图 4-25 未 设置 密码 提示 内 容 时 
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(3) 通过 Console 口 恢 复 

当 ER 路 由 器 无 法 登录 到 Web 页 面 ,可 通过 Console 方式 登录 ER 路 由 器 进行 命令 行 方 
式 恢 复 。 

O 通过 串口 登录 命令 行 界 面 , 通 过 password 命令 来 设置 新 密码 。 


命令 : password 


<H3C> password 

Changing password for admin 

Enter the new password (minimum of 1, maximum of 31 English characters) 
Enter new password: 

Re-enter new password: 

Password has been set successfully. 


<H3C> 


© 如 果 password 命令 需要 输入 原 密 码 , 则 只 能 输入 restore default 命令 恢复 到 出 厂 设 置 

说 明 : 恢复 出 厂 设置 后 ,路 由 器 的 用 户 名 、 密 码 以 及 IP 地 址 等 所 有 设置 都 会 被 恢复 到 默 
认 设 置 。 

命令 : restore default 


<H3C> password 

Changing password for admin 

Old password: 

Incorrect password for admin. 

<H3C> restore default 

This command will restore the default configuration and reboot the system. 
The current configuration will be lost if you continue. 

Continue? [Y/N] Y 

<H3C> 


管理 PC 串口 连接 ER 路 由 器 方法 如 下 。 
O 通过 配置 线 缆 (DB-9 转 成 RJ45 的 通用 转换 线 ) 连 接 到 计算 机 ,如 图 4-26 所 示 。 


计算 机 串口 


图 4-26 连接 计算 机 


@ 配置 管理 计算 机 参数 ,以 Windows XP 附带 的 超级 终端 为 例 ,打开 管理 计算 机 ,在 管 
理 计算 机 Windows 界面 上 单 击 “开始 ">“ 所 有 程序 ”>“ 附 件 ” 一 “通讯 ”命令 ,运行 终端 仿真 
程序 。 在 “名 称 ” 文 本 框 中 键入 新 建 连接 的 名 称 ,比如 : aaa, 如 图 4-27 所 示 , 单 击 “ 确 定 ” 
按钮 。 
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© 在 “连接 时 使 用 ”下 拉 框 中 选择 进行 连接 的 串口 (请 确保 选择 的 串口 应 与 配置 线 缆 实际 
连接 的 串口 相 一 致 ), 单 击 “ 确 定 ” 按 钮 ,如 图 4-28 所 示 。 


输入 各 称 并 为 流连 接 法 挥 图标 的 入 特 扩 电 许 和 组 清 息 : 
aww DRUDO: [PARAME 66) 
P" 


BEO: gs: 


EE LL A x 电话 号 码 下 )- 


连接 时 使 用 W: 


< 


Che 取消 


图 4-27 连接 描述 4-28 选择 串口 


@ 在 串口 的 属性 对 话 框 中 设置 相关 参数 , 需 注意 ,每 秒 位 数 ( 波 特 率 ): 9600 ,数据 流 控 
制 : 无 。 单 击 “ 确 定 ” 按 钮 ,如 图 4-29 所 示 。 


© 单 击 “ 文 件 ” 一 “属性 ”一 “设置 ”命令 ,进入 如 图 4-30 所 示 的 属性 设置 窗口 。 选 择 “ 终 端 
仿真 类 型 "为 “自动 检测 ”, 单 击 “ 确 定 ” 按 钮 。 


( Wrham | 


isma 设置 | 
Bebe. NLN Ctrl WAE 
senge: 0 辆 OHRT O hindows W 


Backspace 键 发 送 

© CrO O DD)O Ctrlth Space, CtrltHO) 
[二 | 终端 仿真 z) = 

TARMO E i CAE E 

BHO: [1 x | Telnet 终端 IDQD: [ANSI 


Bew 


aeree EG Q): [500 
aa] 
FP: E 口 连接 或 断 开 时 发 出 声响 @) 


输入 转换 GD) [psc 码 设置 4) 


( w J( wm 


图 4-29 串口 属性 对 话 框 图 4-30 属性 设置 窗口 


© $È Enter 键 后 , 即 可 登录 路 由 器 , 且 终端 上 显示 命令 行 提 示 符 二 H3C>, 如 图 4-31 所 示 。 

(4) 通过 密码 提示 找 回 

通过 ER 路 由 器 的 密码 提示 功能 ,根据 密码 提示 信息 找 回 登录 密码 。 如 图 4-32 所 示 , 密 
码 提示 为 “小 明 的 生日 。 

(5) 通过 页 面 中 忘记 密码 恢复 

通过 单 击 ER 路 由 器 的 登录 页 面 “忘记 密码 ?链接 ,通过 链接 内 容 * 忘 记 密码 怎么 办 ”, 通 
过 串口 恢复 到 出 厂 设 置 , 如 图 4-33 所 示 。 


说 明 : 恢复 出 厂 设 置 后 ,路 由 器 的 用 户 名 、 密 码 以 及 IP 地 址 等 所 有 设置 都 会 被 恢复 到 默 
认 设 置 。 
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eana - EBAR 
文件 四 RED SEV FUO HED EMW 
D 6 2 op g 


<H3C> 
<H3C> 
<H3C> 
<H3C> 
<H3C> 


已 这 接 0:00:3 自动 检测 9600 e-i EU CA mn 


图 4-31 超级 终端 


推荐 分 辩 率 1024*763 


图 4-32 密码 提示 


忘记 密码 怎么 办 ? 


如 果 您 后 记 了 路 由 器 的 登录 密码 ， 请 通过 在 串口 下 簿 入 restore default 命 令 来 恢复 到 出 厂 设置 . 
(注意 ， 恢 复出 厂 设置 后 ， 路 由 回 的 用 户 名 、 密 码 以 及 TP 地址 等 所 有 设置 都 会 被 恢复 到 缺 省 设 
置 。) 具体 方法 如 下 


1、 连 接管 理 计 算 机 到 店 由 器 


如 图 所 示 ， 将 管理 计算 机 的 省 口 通过 配置 线 统 与 路 由 器 的 Console 口 连接 。 
通过 Console 口 楼 建 配置 环境 


图 4-33 忘记 密码 怎么 办 


dt F Sa t fe tk A HEA 
— ++: a tz 


= 一 = 表示 上 一步 结果 出 现 问题 


拨打 热线 
400-310-0504 
寻求 帮助 
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05 交换 机 产品 5.1 高 端 产品 5.1.1 高 端 产品 电源 故障 排查 步骤 详解 


1. 开始 

电源 系统 由 硬件 和 软件 两 部 分 构成 ,所 以 定位 故障 的 思路 是 : 先 查 硬件 .再 查 软件 ; 先 查 
外 部 供电 ,再 查 电 源 模 块 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 电源 监控 模块 和 电源 模块 指示 灯 状 态 

电源 监控 模块 和 电源 模块 指示 灯 可 直接 反应 电源 的 运行 状态 , 查 硬件 问题 请 先 查 看 电源 
监控 模块 (S12500 和 CR16000 特有 ) 和 电源 模块 指示 灯 状 态 。 

电源 监控 模块 指示 灯 状 态 如 表 5-1 所 示 。 


表 5-1 电源 监控 模 指 示 灯 状态 


指示 灯 名 称 | ”颜色 状态 a x 
TEH 表示 电源 监控 模 顽 正常 工作 
i 绿色 ix 表示 电源 监控 模块 有 故障 
包括 但 不 限于 以 下 4 种 情况 
O 表示 电源 模块 有 故障 
灯 常 亮 © 电源 框 内 所 有 电源 模块 被 拔 出 
MAJOR | 红色 O 电源 框 开关 关闭 
@ 电源 模块 在 位 ,但 未 接 入 交流 电 
TEREK RRE 
HK 表示 电源 模块 正常 工作 
MINOR 黄色 灯 灭 保留 


电源 模块 指示 灯 状 态 如 表 5-2 所 示 。 
表 5-2 电源 模块 指示 灯 状 态 


指示 灯 名 称 颜色 状态 & x 
灯 常 亮 表示 电源 输入 正 党 
电源 输入 指示 灯 绿色 XK 表示 电源 没有 输入 
MN NIE 表示 电源 输入 超过 最 大 范围 
灯 常 亮 表示 电源 模块 输出 正 党 
电源 输出 指示 灯 绿色 NA 表示 电源 模块 没有 输出 
TI 表示 电源 模块 输出 过 载 
_ 灯 常 亮 表示 电源 模块 过 温 告 区 
D p- R 
Ga ss is NA 表示 电源 模块 正常 工作 
灯 常 亮 表示 电源 模块 出 现 故障 
MG Mid ag HK 表示 电源 模块 正常 工作 


(2) 依据 指示 灯 状 态 做 交叉 验证 
依据 上 述 指 示 灯 状态 列表 ,如 果 指 示 灯 状态 有 异常 ,请 根据 指示 灯 状 态 , 通 过 交叉 验证 确 
认 故 障 所 在 ,方法 如 下 。 
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CR16000、S12500 的 电源 监控 模块 RUN 灯 灭 .MAJOR 灯亮 ,表示 电源 模块 有 故障 ,请 进 
一 步 查 看 电源 模块 指示 灯 状 态 。 

O 如 果 电 源 模 块 输入 指示 灯 灭 ,表示 电源 输入 有 问题 ,请 交叉 电源 模块 对 应 的 电源 线 和 
供电 线路 ,确认 供电 线路 有 无 问题 。 如 果 现 场 不 具备 交叉 验证 的 条 件 , 请 联系 机 房管 理 员 进 行 
检查 确认 。 

© 如 果 电 源 模 块 输入 指示 灯 正 常 ,输出 指示 灯 灭 ,表示 电源 输出 有 问题 ,请 交叉 电源 模 
块 , 确 认 故 障 是 否 跟随 电源 模块 走 ; 跟随 电源 模块 走 , 则 为 电源 模块 故障 ,否则 为 电源 框 故障 。 
如 果 现 场 不 存在 交叉 验证 的 条 件 ,请 按照 后 续 步 又 收 集 信息 ,拨打 400-810-0504 寻求 帮助 。 

SR8800、S9500E、S9500 和 S8500 直接 查看 电源 模块 指示 灯 状 态 。 

O 如 果 电 源 模块 输入 指示 灯 灭 ,表示 电源 输入 有 问题 ,请 交叉 电源 模块 对 应 的 电源 线 和 
供电 线路 ,确认 供电 线路 有 无 问题 。 如 果 现 场 不 具备 交叉 验证 的 条 件 , 请 联系 机 房管 理 员 进行 
检查 确认 。 

© 如 果 电 源 模 块 输入 指示 灯 正 常 ,输出 指示 灯 灭 ,表示 电源 输出 有 问题 ,请 交叉 电源 模 
块 , 确 认 故 障 是 否 跟随 电源 模块 走 ; 跟随 电源 模块 走 , 则 为 电源 模块 故障 ,否则 为 电源 框 故障 。 
如 果 现 场 不 存在 交叉 验证 的 条 件 , 请 按照 后 续 步 又 收集 信息 ,拨打 400-810-0504 寻求 帮助 。 

以 上 所 有 操作 请 在 征 得 客户 同意 下 进行 ,并 确保 设备 供电 充足 ,不 会 对 客户 业务 造成 
影响 。 设 备 功 耗 计 算 请 参考 各 产品 的 安装 指导 。 根 据 交 叉 验 证 的 结果 确认 故障 所 在 ,拨打 
400-810-0504 寻求 帮助 。 

(3) 查看 日 志 告 警 信息 和 电源 状态 

如 果 上 述 操作 无 法 定位 故障 所 在 ,怀疑 系统 软件 存在 问题 ,请 收集 设备 的 诊断 信息 \ 日 志 
信息 文件 和 diagfile 文件 ,同时 拍摄 电源 状态 指示 灯 ,拨打 400-810-0504 寻求 帮助 。 

(4) 收集 信息 

D 收集 设备 诊断 信息 。 

MA: display diagnostic-information 


例如 : 


<H3C>display diagnostic-information 

Save or display diagnostic information (Y=save, N=display)? [Y/N]:y 
Please input the file name( * . diag) [cfa0:/default. diag] : 

Diagnostic information is outputting to cfa0:/ default. diag. 

Please wait... 

Save successfully. 

<H3C>4ir cfa0:/ 

Directory of cfa0 : / 


0 drw- - Jul07 2013 07:16:12 logfile 

1 drw- - Jul07 2013 07:13:04 diagfile 

2 -rw- 4924407 May 06 2013 06:43:32 default. diag 
3 drw- - May 02 2013 03:31:52 diaglog 


1021088 KB total (554020 KB free) 


File system type of cfa0: FAT32 


@ 收集 设备 日 志 信 息 文件 。 


MA: logfile save 
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例如 : 


<H3C>logfile save 


Saved the log file buffer to file cfa0:/logfile/logfile2. log successfully. 
<H3C>dir cfa0:/logfile/ 
Directory of cfa0 : /logfile/ 


0 -rw- 10484413 Dec 26 2013 08:37:00 logfilel.log 
1 -rw- 150941 Dec 14 2013 10:10:54 logfile. log 
-Tw 127193 Jan 21 2013 09:41:28 logfile2. log 


1021808 KB total (140128 KB free) 


File system type of cfa0: FAT16 


@ 收集 设备 diagfile 信息 文件 (SR8800 V3R3 以 前 版 本 、S9500、S8500 均 没有 该 文件 ,不 
用 收集 )。 
MA: _diagnose file save 
例如 ， 
[H3CJ_h 


Now you enter a hidden command view for developer's testing, some commands may 
affect operation by wrong use, please carefully use it with our engineer's 


direction. 
[H3C-hidecmd]_diagnose-file save 
Info: Diagnostic file buffer is empty. 
[H3C-hidecmd] 

<H3C>4ir cfa0 : / diaglog/ 
Directory of cfa0 : / diaglog/ 


-rw- 2418760 Jul 09 2013 01:43:16 diagfilel.log 
-rw- 69266 Dec 03 2013 09:38:36 diagfile. log 
-rw- 4291181 Dec 10 2013 12:27:48 diagfile2. log 
-rw- 292979 Jul 07 2013 07:31:52 diagfile3. log 
-rw- 5240510 Jul 08 2013 11:55:00 diagfile4. log 
-rw- 110346 Jul 07 2013 08:51:44 diagfile5.log 
-rw- 192711 Jul 09 2013 12:03:26 diagfile6. log 
-rw- 166363 Jul 09 2013 08:38:20 diagfile7.log 
-rw- 17121 Jul 08 2013 16:37:48 diagfile8. log 
-rw- 101888 Jul 07 2013 07:54:28 diagfile9. log 
10 -rw- 2375568 Jul 09 2013 08:06:34 diagfile10. log 


oonan G to = o 


127206 KB total (56252 KB free) 


File system type of cfa0: FAT16 
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a PA meea 5.1.2 高 端 产品 业务 板 CPU 
05 交换 机 产品 5.1 高 端 产品 利用 率 高 故障 排查 


1. 开始 


正常 的 业务 单 板 CPU 占用 率 一 般 都 是 在 30% 以 内 的 ,OAA 单 板 和 功能 单 板 (如 NAT 单 
板 、.NetStream 单 板 等 ) 正 常情 况 下 的 CPU 利用 率 偏 高 ,不 在 此 云图 的 排查 对 象 范围 内 。 

2. 流程 图 相关 操作 说 明 

(1) 判断 CPU 利用 率 是 否 异 常 高 

MS: display cpu 

应 根据 单 板 的 5 分 钟 内 的 平均 占用 率 来 判断 该 单 板 的 CPU 利用 率 是 否 异常 ; 比如 在 下 
面 的 例子 中 可 以 判断 出 3 号 槽 位 的 单 板 CPU 占用 率 异常 。 


<H3C>display cpu 

Slot 0 CPU usage: 
11% in last 5 seconds 
13% in last 1 minute 
13% in last 5 minutes 

Slot 3 CPU usage: 
35% in last 5 seconds 
59% in last 1 minute 
51% in last 5 minutes 


(2) 确认 导致 CPU 利用 率 异常 高 的 CPU 任务 
MA: display cpu-usage entry-number verbose slot 0(S9500/S8500 不 支持 ) 
从 最 新 记录 (倒数 第 一 条 记录 ) 开 始 , 显 示 entry-number 条 记录 (下 面 的 举例 中 是 5 条 )。 


<H3C>display cpu-usage 5 verbose slot 0 

e CPU usage mio (no: OU ddr: S1y—--——— 

CPU Usage Stat. Cycle: 60 (Second) 

CPU Usage : 33% <--- CPU 使 用 率 

CPU Usage Stat. Time : 2009-07-26 16:55:33 —--- 查看 时 间 

CPU Usage Stat. Tick : 0x15(CPU Tick High) 0x429be6f6(CPU Tick Low) 


Actual Stat. Cycle : 0x0(CPU Tick High) 0xb2d2a975( CPU Tick Low) 
TaskName CPU Runtime(CPU Tick High/CPU Tick Low) 
VIDL 67% 0/77d02af4 

TICK 0% 0/ 469276 

co0 31% 0/39012f2b 


从 上 面 的 举例 中 ,可 以 知道 是 co0 任务 引起 CPU 升 高 的 (VIDL 是 空闲 任务 ) ,这 时 就 要 
考虑 Console 用 户 进行 了 什么 命令 操作 才 导 致 的 。 

(3) 判断 导致 CPU 利用 率 异 常 高 的 原因 ,排除 异常 源 

常见 导致 CPU 利用 率 高 的 任务 如 下 。 

® L2AU/L2SY/L2DM/L2HC 任务 ,这些 任务 都 和 MAC 地 址 学 习 相 关 , 需 要 排查 设备 
是 否 存 在 MAC 地 址 漂移 ,或 者 设备 收 到 大 量 TC 报 文 ,导致 MAC 地 址 频繁 刷新 。 

对 于 MAC 地 址 漂移 问题 ,需要 多 次 收集 ARP 表 和 MAC 地 址 表 , 进 行 对 比分 析 排 查 。 
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S12500/S9500E R1828 版 本 及 之 后 版 本 ,可 以 直接 通过 display mac-flapping information 命令 
查看 MAC 地 址 迁移 记录 。 

对 于 设备 收 到 大 量 TC 报 文 问题 ,设备 收 到 TC 报 文 时 ,会 打印 日 志 , 根 据 日 志 信 息 可 以 
排查 TC 报 文 来 源 。 相 关 日 志 信 息 举 例如 下 。 


H3C MSTP/6/MSTP_NOTIFIED_TC: -Slot=9; Instance 0's port GigabitEthernet9/0/15 was notified 
of a topology change 


© ROUT 任务 ,路 由 管理 任务 ,需要 排查 设备 是 否 存在 路 由 振荡 问题 。 通 过 display ip 
routing-table statistics 命令 可 以 查询 路 由 表 统 计 信息 ,如 果 路 由 增删 计数 变化 明显 ,请 排查 相 
关 路 由 协议 振荡 源 。 

@ ARP 任务 ,处 理 ARP 协议 报 文 的 任务 ,需要 排查 是 否 存 在 ARP 攻击 问题 。 通 过 查看 
日 志 信息 ,可 以 排查 设备 是 否 受到 ARP 攻击 。 

@ co0 任务 ,Console 口 用 户 与 设备 之 间 的 会 话 任务 ,需要 确认 Console 口 用 户 是 否 正在 
收集 诊断 信息 .用 复制 粘贴 方式 下 发 大 量 配置 等 操作 。 如 果 是 其 他 CPU 任务 ,请 直接 电话 咨 
询 400-810-0504, 
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05 交换 机 产品 Y sa aara y A 9 


1. 开始 

转发 丢 包 问题 的 主要 排查 思路 如 下 。 

D 确认 报 文 的 转发 路 径 和 丢 包 的 大 概 位 置 。 

© 查看 存在 丢 包 的 设备 间 的 互联 接口 信息 ,排除 互 连 接口 配置 不 一 致 . 链 路 问题 和 光 模 
块 问题 。 

@ 查看 互联 接口 流量 大 小 ,调整 配置 或 组 网 ,避免 端口 拥塞 。 

@ 查看 设备 转发 表 项 ,排除 路 由 振荡 或 者 环 路 。 

O 通过 流量 统计 或 者 镜像 抓 包 的 方式 ,确认 丢 包 具体 位 置 。 

@ 查看 设备 状态 信息 ,排除 设备 异常 或 者 收集 故障 信息 并 联系 400 寻求 帮助 。 

2. 流程 图 相关 操作 说 明 

(1) 确认 报 文 的 转发 路 径 和 丢 包 的 大 概 位 置 

对 于 丢 包 问题 ,首先 要 确认 报 文 的 转发 路 径 和 丢 包 的 大 概 位 置 ,缩小 排查 范围 。 

(D 通过 tracert 或 者 查看 设备 路 由 表 或 者 查看 网 络 拓扑 图 的 方式 ,确认 报 文 转发 路 径 ， 

© 在 终端 上 依次 ping 转发 路 径 上 的 网 络 设备 ,如 果 发 现 ping A 设备 不 丢 包 ,但 是 ping 
下 一 跳 B 设 备 丢 包 , 则 可 以 初步 确认 A 设备 ,或 者 B 设备 ,或 者 A 设备 和 B 设备 之 间 的 链 路 
上 存在 转发 丢 包 。 

(2) 查看 互 连 接口 信息 

确认 了 丢 包 的 大 概 位 置 后 ,首先 查看 相关 设备 的 互联 接口 信息 ,确认 是 否 是 接口 存在 错 包 
导致 网 络 丢 包 。 通 过 命令 行 查看 接口 下 看 是 否 存在 errors, frame, cre 校 验 等 错误 计数 ,通过 
多 次 查看 ,看 该 计数 是 否 在 不 断 增加 。 

MS: display inter face GigabitEthernet 3/0/1 

例如 : 多 次 查看 该 命令 ,可 以 确认 互 连 接口 3/0/1 有 收 到 错 包 , 且 在 不 断 增 长 。 


< H3C>4isplay interface GigabitEthernet 3/0/1 
GigabitEthernet3/0/1 current state: Up 
Line protocol current state: Up 


Input:23805421 input errors, 0 runts, 0 giants，0 throttles 
1386 CRC, 23804035 frame, 0 overruns, - aborts 
0 ignored, - parity errors 


对 于 SDH 线路 ,同样 可 以 查看 接口 下 有 无 错 包 , 还 可 以 查看 接口 下 有 无 相关 链 路 层 告 
警 等 。 


Serial3/0/1/6:0 current state: Up 
Line protocol current state: Up 


Input(total): 27616419 packets, 2996528783 bytes 
Input(Bad) :120 Abort, 231 FCS-Error, 0 FIFO-Abort, 0 Giant, 0 Runt 
Output(total): 18171442 packets, 6872764415 bytes 
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(3) 检查 配置 ,替换 测试 

如 果 接 口 下 存在 错 包 计数 , 且 在 不 断 增加 ,可 能 是 接口 配置 不 一 致 .传输 异常 . 光 模 块 异 常 
等 原因 导致 ,可 以 通过 如 下 调整 配置 或 者 通过 替换 测试 排查 解决 。 

O 接口 下 配置 不 一 致 。 检 查 互 连 接口 的 配置 ,看 两 端 双 工 模式 是 否 一 臻 .封装 模 式 是 否 
一 致 ,如 果 不 一 致 则 将 两 端 修改 为 一 致 。 

© 传输 异常 。 传 输 质量 差 ,或 者 中 间 传 输 设备 异常 也 会 导致 设备 接口 下 出 现 错 包 。 可 通 
过 更 换 尾 纤 、 链 路 等 方式 进行 排查 测试 。 对 于 电 口 ,可 更 换 网 线 、 端 口 等 方式 进行 排查 测试 。 

O 光 模 块 异常 。 如 果 设备 通过 光 口 互 连 ,可 通过 如 下 命令 判断 光 模 块 是 否 存在 异常 告 
警 , 光 模块 收发 光 功 率 是 否 异常 。 如 果 是 ,可 替换 光 模 块 后 青 进行 业务 测试 。 

MS: display transceiver diagnosis interface GigabitEthernet 3/0/1 

display transceiver alarm inter face GigabitEthernet 3/0/1 

例如 : 通过 命令 查看 ,可 以 发 现 本 端 光 模块 发 光 功率 明显 偏 低 ,超出 临界 值 , 且 光 模块 有 
发 光 过 低 的 告警 。 
<H3C> display transceiver diagnosis interface GigabitEthernet 3/0/1 
GigabitEthernet3/0/1 transceiver diagnostic information: 

Current diagnostic parameters: 

Temp. (°C) Voltage(V) Bias(mA) RX power(dBM) TX power(dBM) 

32 3.37 11.46 — 12.19 —35.19 
<H3C> display transceiver alarm interface GigabitEthernet 3/0/1 


GigabitEthernet3/0/1 transceiver current alarm information: 
TX power low 


排除 问题 后 ,通过 ping 测试 看 丢 包 现象 是 否 还 存在 。 

(4) 查看 互 连 接口 流量 大 小 

如 果 接 口 下 没有 持续 增长 的 错 包 或 者 没有 告警 等 ,可 能 是 接口 下 流量 过 大 或 者 存在 限 速 ， 
接口 下 发 生 拥塞 导致 丢 包 。 

可 以 通过 查看 互 连 接口 下 流量 大 小 ,查看 接口 下 是 否 存 在 限 速 或 者 流量 整形 等 配置 进行 
确认 。 另 外 如 果 接 口 下 广播 流量 特别 大 , 则 可 能 存在 环 路 。 

命令 : display inter face GigabitEthernet 3/0/1 

display qos policy inter face gigabitethernet 3/0/1 inbound 

例如 : 查看 接口 下 配置 可 以 发 现 接口 下 配置 了 限 速 , 且 接口 下 流量 较 大 ,通过 命令 可 查看 
到 接口 下 有 拥塞 丢 包 计数 。 
<H3C>display interface GigabitEthernet 3/0/1 


GigabitEthernet6/1/1 current state: Up 
Line protocol current state: Up 


Last 300 seconds input:154690 packets/sec 50590840 bytes/sec 83% 
Last 300 seconds output:74280 packets/sec 101038610 bytes/sec 42% 


<H3C> display qos policy interface gigabitethernet 3/0/1 inbound 
Interface: GigabitEthernet3/0/1 
Direction: Inbound 
Policy: H3C 
Classifier: H3C 
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Operator: AND 

Rule(s) : If-match acl3000 

Behavior: H3C 

Committed Access Rate: 

CIR 1000 (kbps), CBS 100000 (byte), EBS 0 (byte) 
Red Action: discard 
Green :51111(Packets) 0( Bytes) 
Yellow: 0(Packets) 0(Bytes) 
Red : 322(Packets) 0(Bytes) 


(5) 调整 配置 或 组 网 ,避免 端口 拥塞 

如 果 通 过 上 一 步 确认 是 因为 存在 限 速 或 者 流量 过 大 等 原因 导致 丢 包 ,可 根据 现场 实际 情 
况 进行 调整 解决 。 如 和 客户 协调 后 ,取消 限 速 先 关 策略 或 适当 增 大 限 速 速 率 、 通 过 链 路 聚合 来 
增 大 互 连 带宽 ,或 者 将 部 分 流量 迁移 到 其 他 端口 等 方法 来 避免 互 连 接 口 下 出 现 拥塞 。 

调整 之 后 ,通过 ping 测试 看 丢 包 现象 是 否 还 存在 。 

(6) 查看 设备 转发 表 项 

如 果 接 口 下 没有 错 报 , 而 且 流 量 较 小 或 者 未 超过 限 速 , 则 可 能 是 设备 的 转发 表 项 存在 异常 
导致 丢 包 。 可 通过 多 次 查看 设备 路 由 表 、ARP RA MAC 表 等 转发 表 项 看 是 否 正常 ,如 果 表 
项 存在 异常 肯定 会 影响 报 文 转 发 。 

MS: displayarp all | include 10.1.1.1 

例如 : 通过 命令 查看 ,可 以 确认 去 往 10. 1.1.1 的 报 文 从 G3/0/1 接口 学 到 ,多 次 查看 该 表 
项 ,发 现 该 arp 发 生 了 漂移 。 


<H3C> display arp all | include 10.1.1.1 

Type: S-Static D-Dynamic A-Authorized 
IP Address MAC Address VLAN ID Interface Aging Type 
0 000f-e283-4c98 N/A GE3/0/1 N/A D 
<H3C> display arp all | include 10.1.1.1 

Type: S-Static D-Dynamic A-Authorized 
IP Address MAC Address VLAN ID Interface Aging Type 
10.1.1.1 000f-e283-4c98 N/A GE3/0/10 N/A D 


(7) 排除 路 由 振荡 或 者 环 路 

通过 多 次 查看 各 转发 表 项 ,如 果 发 现 路 由 时 有 时 无 、 路 由 振荡 或 者 ARP 漂移 等 现象 , 需 
要 对 该 设备 和 相关 链 路 进行 排查 。 

对 于 路 由 振荡 ,可 查看 相应 链 路 、 协 议 状态 是 否 稳 定 , 可 通过 debug 等 方式 测试 设备 相应 
协议 报 文 收发 包 情况 是 否 正常 ,可 参考 相关 协议 云图 进行 排查 ; 对 于 环 路 问题 需要 根据 相应 
接口 逐步 排查 相应 下 连 设备 ,排除 环 路 。 

在 排除 了 环 路 或 者 路 由 振荡 等 异常 后 ,再 通过 ping 测试 看 丢 包 现象 是 否 还 存在 。 

(8) 确认 丢 包 具体 位 置 

如 果 各 转发 表 项 都 是 正常 的 , 则 需要 确认 丢 包 发 生 的 具体 位 置 , 如 某 台 设备 或 者 某 条 链 路 
上 ,再 对 其 进行 重点 排查 。 

通过 第 一 步 排查 步骤 已 经 确认 了 丢 包 的 大 概 位 置 ,再 在 这 几 台 设备 的 互联 接口 上 做 流量 
统计 ,来 确认 丢 包 发 生 在 具体 某 台 设备 或 者 某 条 链 路 上 。 

SR8800 产品 的 流量 统计 配置 参考 如 下 ,其 他 产品 请 参考 相应 产品 的 QoS 配置 指导 。 
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acl number 3000 
rule0 permit ip source 10.1.1.1 0 destination 20.1.1.10 


traffic classifier H3C 
if-match acl 3000 

# 

traffic behavior H3C 
accounting packet 

# 

qos policy H3C 

classifier H3C behavior H3C 
# 

interface GigabitEthernet3/0/1 
qos apply policy H3C inbound 


命令 : display qos policy inter face g3/0/1 

例如 : 终端 总 共 ping T 1000 个 测试 报 文 , 且 在 上 一 级 设备 出 方向 也 正常 统计 到 1000 个 
报 文 ,在 本 设备 ,通过 如 下 命令 查看 可 以 确认 设备 的 g3/0/1 口 只 有 收 到 990 个 测试 报 文 , 则 可 
判断 报 文 丢 在 中 间 传 输 设备 或 者 传输 链 路 上 。 


<H3C> display qos policy interface g3/0/1 
Interface: GigabitEthernet3/0/1 
Direction: Inbound 
Policy: statistic 
Classifier: statistic 
Operator: AND 
Rule(s) : If-match acl 3000 
Behavior: statistic 
Accounting Enable: 
990 (Packets) 


如 果 丢 包 发 生 在 传输 链 路 上 ,需要 协调 排查 传输 设备 或 者 链 路 ,如 果 丢 包 发 生 在 网 络 设备 
上 , 则 根据 如 下 情况 继续 排查 。 

O 丢 包 发 生 在 CPU 转发 设备 上 ,如 MSR、SR6600 等 设备 ,请 按照 后 续 步 又 进一步 查看 
该 设备 自身 的 状态 信息 是 否 正常 。 

© 丢 包 发 生 在 硬件 转发 设备 上 ,如 S12500、SR88、S5500 等 设备 ,分 为 以 下 两 种 情况 。 

情况 1: 出 现 丢 包 的 报 文 ,在 设备 上 只 是 做 转发 , 即 报 文 不 上 CPU 处 理 ,这 种 情况 属于 设 
备 硬件 转发 丢 包 ,可 直接 收集 设备 故障 信息 再 拨打 热线 400-810-0504 寻求 帮助 。 

情况 2: 出 现 丢 包 的 报 文 , 是 需要 设备 CPU 处 理 的 报 文 ,例如 ,与 设备 接口 地 址 互通 的 报 
文 ,请 按照 后 续 步 又 进一步 查看 该 设备 自身 的 状态 信息 是 否 正常 。 

如 果 设 备 存在 流量 统计 的 限制 ,比如 无 法 统计 到 出 方向 的 转发 报 文 数 , 则 可 以 使 用 镜像 抓 
包 的 方式 来 确认 具体 丢 包 位 置 。 如 果 现 场 无 法 实施 镜像 抓 包 , 请 拨打 热线 400-810-0504 寻求 
帮助 。 

(9) 查看 设备 状态 信息 

通过 上 一 步 确认 了 丢 包 发 生 的 具体 设备 ,可 查看 该 设备 的 运行 状态 和 日 志 信 息 ,可 能 因为 
设备 CPU 高 .设备 受到 攻击 、 转 发 错误 等 原因 导致 丢 包 , 排 查 方法 如 下 。 

O 查看 该 设备 的 CPU 利用 率 。 如 果 设 备 CPU 利用 率 较 高 , 则 可 能 因为 CPU 任务 忙 , 影 
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响 某 些 CPU 转发 设备 或 者 需要 CPU 处 理 的 硬件 转发 设备 的 报 文 转发 , 即 可 能 导致 丢 包 ,可 
参考 CPU 利用 率 高 问题 处 理 的 云图 进行 排查 。 

@ 查看 设备 日 志 人 信息。 如果 设备 日 志 中 存在 异常 告警 ,如 受到 攻击 等 ,也 可 能 会 导致 设 
备 丢 包 。 需 要 通过 设备 打印 的 IP/MAC 地 址 ,或 者 通过 抓 包 确 认 攻 击 源 进行 隔离 解决 。 

@ 如 果 设 备 存 在 设备 转发 异常 等 告警 信息 ,可 直接 收集 设备 故障 信息 再 拨打 热线 
400-810-0504 寻求 帮助 。 


如 果 设 备 存 在 丢 包 ,但 未 发 现 设 备 上 述 异 常 ,或 者 上 述 异 常 解决 后 还 存在 丢 包 ,可 收集 设 
备 故障 信息 再 拨打 热线 400-810-0504 寻求 帮助 。 

命令 : display cpu-usage 

例如 : 通过 命令 查看 ,确认 设备 当前 CPU 利用 率 较 高 ,可 能 影响 设备 的 报 文 处 理 。 


<H3C> dis cpu-usage 

Slot 0 CPU usage: 
42% in last 5 seconds 
45% in last 1 minute 
43% in last 5 minutes 

Slot3 CPU usage: 
53% in last 5 seconds 
56% in last 1 minute 
55% in last 5 minutes 


命令 : display logbuf fer reverse 


例如 : 通过 命令 查看 ,确认 异常 时 ,设备 受到 ARP 攻击 ,可 能 导致 设备 相关 ARP 时 有 
时 无 。 


May 22 10:31:35 2013 S9512 DIAGCLI/5/LOG_WARN:Slot=3; 

Detect ARP attack from MAC d43d-7e46-b542, VLAN: 200, GigabitEthernet3/0/18 ! 
May 22 10:31:46 2013 S9512 DIAGCLI/5/LOG_WARN:Slot=3; 

Detect ARP attack from MAC 0040-4848-ed68, VLAN: 100, GigabitEthernet3/0/1 ! 
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sq Y Ens 5.1.4 高 端 产品 IRF2 H : 
05 交换 机 产品 5.1 高 端 产品 无 法 建立 故障 排查 步骤 详解 


1. 开始 

由 于 IRF2 堆 秋 是 将 多 台 设 备 虚拟 成 一 台 设备 的 技术 ,设备 的 一 些 基 本 参数 一 定 要 保证 
一 致 。 所 以 定位 故障 的 思路 如 下 。 

O 硬件 参数 一 致 性 : 包括 产品 系列 和 主 控 板 。 

© 软件 版 本 一 致 性 ,IRF2 要 求 软件 版 本 完全 一 致 。 

@ IRF2 的 member ID 和 IRF-port 对 应 关系 是 否 正确 。 

@ 设备 其 他 硬件 参数 是 否 一 致 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 产品 系列 主 控 板 类 型 是 否 一 致 

由 于 IRF2 堆 释 是 将 多 台 设 备 虚拟 成 一 台 设备 的 技术 ,所 以 设备 的 一 些 基本 参数 一 定 要 
保证 一 致 ,首先 需要 排查 硬件 一 致 性 。 

同一 产品 系列 的 产品 可 以 形成 IRF2, 不 同系 列 的 产品 不 能 形成 IRF2( 如 S12508 和 
S12518 可 以 形成 IRF(2) S9508E 和 S12508 不 能 形成 IRF2) 。 

查看 成 员 设备 主 控 板 类 型 是 否 一 致 。S12500/CR16000 在 建立 IRF2 前 ,请 确保 组 成 IRF 
的 S12500/CR16000 使 用 的 主 控 板 丝印 完全 相同 ,否则 不 能 形成 IRF2, S9500E 有 两 类 主 控 
板 ,要 求 主 控 板 类 型 一 致 才能 建立 堆 琶 。 如 : 以 Bl 作为 后 级 名 的 主 控 板 LSR1SRP2B1 的 设 
备 和 以 Cl 作为 后 缀 名 的 主 控 板 LSR1SRP2C1 设备 之 间 不 能 形成 IRF, 但 是 以 Cl 作为 后 缀 名 
的 主 控 板 LSR1SRP2C1 的 设备 和 以 C2 为 后 级 名 的 主 控 板 LSR1SRP2C2 的 设备 之 间 可 以 形 
成 IRF。 

命令 : display device 

例如 : 通过 命令 查看 ,可 以 确认 本 设备 主 控 板 类 型 为 LSR1SRP2C2。 

<H3C>display device 

Slot No. Brd Type Brd Status Software Version 

0 LSRISRP2C2 Master S9500E-CMW520-R1825P01 

(2) 确认 软件 版 本 是 否 一 致 

由 于 IRF2 堆 释 是 将 多 台 设 备 虚拟 成 一 台 设备 的 技术 ,所 以 设备 的 一 些 基 本 参数 一 定 要 
保证 一 致 ,只 有 版 本 完全 一 致 才能 形成 IRF2。 

分 别 查 看 IRF 成 员 设备 的 软件 版 本 是 否 一 致 。 

命令 : display version 


例如 : 通过 命令 查看 ,可 以 确认 这 台 设 备 的 版 本 为 Release 1825P01。 


<=H3C> display version 

H3C Comware Platform Software 

Comware Software, Version 5.20, Release 1825P01 

Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 
H3C S12508 uptime is 0 week, 3 days, 0 hour, 22 minutes 
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(3) 查看 成 员 设备 IRF 端口 和 Member ID 是 否 配 置 正确 ,端口 是 否 正 常 Up 

S12500 最 多 支持 4 台 设 备 形成 IRF2,CR16000 最 多 支持 两 台 设 备 形成 IRF2,S9500E 最 
多 支持 两 台 设 备 形 成 IRF2。 

为 了 保证 成 员 设备 间 能 正常 通信 ,需要 成 员 设备 IRF 端口 1 连接 另 一 成 员 设备 IRF 端口 2。 
为 了 保证 成 员 设 备 间 端口 号 等 不 发 生 冲 突 ,成 员 设 备 的 Member ID 必需 不 同 。 

MS: display irf configuration 

display inter face GigabitEthernet1/2/0/1 

例如 : 通过 命令 查看 ,可 以 确认 本 设备 Member ID 为 1; IRF-Port1 包含 的 物理 端口 为 

GigabitEthernetl/2/0/1 ,当前 状态 为 Up。 


<H3C>display irf configuration 
MemberID Priority IRF-Port1 IRF-Port2 
1 T GigabitEthernet1/2/0/1 disable 


<H3C>display interface GigabitEthernet1/2/0/1 
GigabitEthernet1/2/0/1 current state: Up 


(A) 确认 成 员 设备 基本 配置 是 否 一 致 

由 于 IRF? 堆 释 是 将 多 台 设 备 虚 拟 成 一 台 设 备 的 技术 ,所 以 设备 的 一 些 基 本 参数 一 定 要 
保证 一 致 ,设备 的 硬件 运行 方式 、 转 发 方式 等 要 求 一 致 ,包括 : 系统 工作 模式 、ACL 硬件 模式 、 
MPLS VPN POPGO 模式 .Portal 用 户 迁 移 功 能 IRF 增加 功能 。 

命令 : display system working mode 


display acl mode 
display vpn label operation 
display portal-roaming 
display acl ipv6 inbound 
LH3C Jdisplay this 

例如 : 通过 命令 查看 。 


<H3C>display system working mode 

Current system working mode : Routee 

Working mode after system restart: Routee 

Notice: Changing working mode will take effect only after system restart. 


<H3C>display acl mode 

Current ACL mode : advanced 

ACL mode after system restart: advanced 

Notice: Changing ACL mode will take effect only after system restart. 


<H3C>display vpn label operation 
Pop VPN label and look up FIB entry. 


<H3C>display portal-roaming 

Current portal-roaming : enable 

portal-roaming after system restart: enable 

Notice: Changing portal-roaming will take effect only after system restart. 


<H3C> display acl ipv6 inbound 
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Current ACL IPv6 inbound mode : Disable 
ACL IPv6 inbound mode after system restart: Disable 
Notice: Changing ACL IPv6 mode will take effect only after system restart. 


< H3C> display acl mode 

Current ACL mode : advanced 

ACL mode after system restart: advanced 

Notice: Changing ACL mode will take effect only after system restart. 


[H3C]display this 

acl ipv6 enable 
acl mode advanced 
portal-roaming enable 
undo vpn popgo 
system working mode routee 
irf mode enhanced 


通过 以 上 步骤 仍然 无 法 建立 IRF2 ,请 拨打 热线 400-810-0504 寻求 帮助 。 
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05 交换 机 产品 5:1 š 注册 故障 排查 


1. 开始 

单 板 无 法 注册 时 应 首先 进行 如 下 排查 后 方 可 怀疑 是 硬件 故障 。 

2. 流程 图 相关 操作 说 明 

(1) 判断 是 否 是 开局 故障 

如 果 是 开局 故障 ,请 继续 按照 如 下 方法 排查 ; 如 果 是 设备 使 用 中 出 现 的 故障 ,请 直接 收集 
故障 信息 并 联系 400 。 

(2) 插 拔 单 板 确认 已 插 紧 

(D 拔 出 单 板 后 ,首先 判断 单 板 后 部 与 背 板 相连 的 连接 器 是 否 故障 ,是 否 受 到 物理 损坏 
如 果 是 ,请 直接 联系 400 更 换 单 板 解决 ; 如 果 不 是 , 则 继续 按照 以 下 方法 排查 。 

@ 安装 单 板 时 ,将 单 板 前 面板 两 侧 的 扳手 往外 旋转 ,然后 一 只 手 托 住 单 板 ( 注 意 不 要 碰 到 
电路 板 上 的 元 件 ) , 另 一 只 手 握 住 单 板 前 面板 , 沿 着 插 槽 导轨 平稳 插入 。 

O 将 扳手 向 内 合拢 ,使 单 板 与 背 板 紧 密 接 触 。 

@ 手动 将 螺钉 导 正 后 拧 和 人 ,再 用 螺丝 刀 拧 紧 单 板 上 的 松 不 脱 螺钉 ,固定 单 板 。 

如 图 5-1 所 示 是 S12504 单 板 安装 操作 举例 。 


图 5-1 S12504 单 板 安装 操作 


(3) 查看 软件 版 本 是 否 配套 
确认 软件 版 本 与 单 板 的 配套 关系 ,排除 软件 版 本 过 低 导 致 新 发 货 单 板 无 法 注册 ; 请 查看 
对 应 版 本 的 版 本 说 明 书 。 
请 查看 版 本 说 明 书 中 的 版 本 硬件 特性 , 表 5-3 是 S12500 R1828P01 版 本 说 明 书 的 版 本 硬 
件 特性 列表 举例 。 
表 5-3 S12500 R1828P01 版 本 硬件 特性 列表 
项 目 描 述 


主 控 板 : 
H3C S12500 管理 及 路 由 处 理 板 ,LSTIMRPNC1 


可 选单 板 类 型 
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续 表 
项 目 描 述 


以 太 网 接口 板 : 

8 端口 万 兆 以 太 网 光 接 口 业务 板 (LEB) ,(SFP 十 ,LC)LST2XP8LEB1 
8 端口 万 兆 以 太 网 光 接 口 业务 板 (LEC) ,(SFP+ ,LC)LST2XP8LEC1 
8 端口 万 兆 以 太 网 光 接口 业务 板 (LEF) ,(SFP+ ,LC)LST2XP8LEF1 
32 端口 万 兆 以 太 网 光 接口 业务 板 (REB) ,(SFP 十 ,LC)LST2XP32REB1 
32 端口 万 兆 以 太 网 光 接 口 业务 板 (REC) ,(SFP 十 ,LC)LST2XP32REC1 
48 端口 千 兆 以 太 网 电 接口 业务 板 (LEB)-(RJ45),LST1GT48LEB1 

48 端口 千 兆 以 太 网 电 接口 业务 板 (LEC)-(RJ45) ,LST1GT48LEC1 

48 端口 千 兆 以 太 网 光 接 口 业务 板 (LEB)-(SFP,LC) ,LST1GP48LEB1 
48 端口 千 兆 以 太 网 光 接 口 业务 板 (LEC)-(SFP,LC) ,LST1GP48LEC1 
4 端口 万 兆 以 太 网 光 接 口 业 务 板 (LEB)-(XFP,LC) ,LST1XP4LEB1 

4 端口 万 兆 以 太 网 光 接口 业务 板 (LEC)-(XFP,LC) ,LSTI1XP4LEC1 

8 端口 万 兆 以 太 网 光 接口 业务 板 (LEB)-(XFP,LC) ,LST1XP8LEB1 

8 端口 万 兆 以 太 网 光 接 口 业务 板 (LEC)-(XFP,LC) ,LSTIXP8LEC1 
32 端口 万 兆 以 太 网 光 接口 业务 板 (REB)-(SFP 十 ,LC) ,LSTI1XP32REB1 
32 端口 万 兆 以 太 网 光 接口 业务 板 (REC)-(SFP 十 ,LC) ,LSTI1XP32REC1 
48 端口 千 兆 以 太 网 光 接口 业务 板 (LEF)-(SFP,LC) ,LST1GP48LEF1 
8 端口 万 兆 以 太 网 光 接 口 业务 板 (LEF)-(XFP,LC) ,LSTIXP8LEF1 

8 端口 万 兆 以 太 网 光 接 口 业务 板 (LEB)-(XFP,LC) ,LST3XP8LEB1 
可 选单 板 类 型 | 8 端口 万 兆 以 太 网 光 接 口 业务 板 (LEC)-(XFP,LC) ,LST3XP8LEC1 
16 端口 万 兆 以 太 网 光 接 口 业务 板 (LEB)-(SFP 十 ,LC) ,LSTIXP16LEB1 
16 端口 万 兆 以 太 网 光 接 口 业务 板 (LEC)-(SFP 十 ,LC) ,LSTIXP16LEC1 
8 端口 万 兆 以 太 网 光 接 口 业务 板 (LEC)-(SFP 十 LC) ,LST2XP8LEC2 
16 端口 万 兆 以 太 网 光 接 口 业务 板 (LEC)-(SFP 十 ,LC) ,LSTI1XP16LEC2 
32 端口 万 兆 以 太 网 光 接口 业务 板 (REC)-(SFP 十 ,LC) ,LST2XP32REC2 
48 端口 千 兆 以 太 网 光 接口 业务 板 (LEC)-(SFP,LC) ,LST1GP48LEC2 
48 端口 千 兆 以 太 网 电 接口 业务 板 (LEC)-(RJ45) ,LST1GT48LEC2 
OAA 单 板 : 

H3C S12500, 防 火 墙 业务 板 ,LST1FW2Al,LSTI1FW3Al 

H3C S12500, 入 侵 防 御 系 统 模块 ,LST1IPS1A1,LST1IPS2A1 

H3C S12500,NetStream 业务 板 ,LSTINSM1A1 

H3C S12500, 负 载 均衡 业务 板 ,LST1LB1A1 

H3C S12500, 应 用 控制 网 关 业 务 板 模块 ,LST1ACG1A1 

交换 网 板 : 

H3C S12518 交换 网 板 ,LST1SF18B1 

H3C S12508 交换 网 板 ,LST1SF08B1 

H3C S12518 交换 网 板 ,LST1SF18C1 

H3C S12518 交换 网 板 ,LST2SF18C1 

H3C S12508 交换 网 板 ,LST2SF08C1 


(4) 查看 系统 工作 模式 是 否 匹 配 
请 查看 相关 产品 的 操作 手册 ,在 “基础 配置 ~ 设备 管理 一 配置 系统 工作 模式 ”这 一 节 中 ,对 
于 不 同 的 系统 工作 模式 支持 的 单 板 类 型 有 详细 说 明 。 
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MS: display system working mode 


例如 : 通过 命令 查看 ,可 以 确认 SR8800 的 系统 工作 模式 为 hybrid。 


< H3C>-4display system working mode 

Current system working mode : hybrid 

Working mode after system restart: hybrid 

Notice: Changing working mode will take effect only after system restart. 


(5) 查看 系统 电源 功 耗 是 否 满足 要 求 


请 查看 相关 产品 安装 指导 ,查询 并 计算 设备 的 电源 模块 输出 功率 ,查询 设备 的 单 板 .风扇 


的 功 耗 , 并 计算 设备 总 功 耗 ,确认 系统 电源 输出 功率 足够 满足 新 单 板 上 电 需 求 。 如 果 不 能 满 
足 , 则 需要 增加 电源 模块 。 


(6) 对 于 备用 主 控 板 要 检查 备用 主 控 板 版 本 是 否 与 主 用 主 控 板 一 臻 


请 查看 对 应 版 本 的 版 本 说 明 书 ,按照 版 本 说 明 书 的 指导 ,在 bootware 菜单 下 同步 备用 主 
控 板 版 本 。 


(7) 交叉 验证 测试 
将 无 法 注册 成 功 的 单 板 A 和 能 够 注册 成 功 的 单 板 了 B 互 换 槽 位 测试 。 
如 果 单 板 A 在 新 的 槽 位 上 依然 无 法 注册 成 功 , 同 时 单 板 B 能 够 注册 成 功 , 则 可 以 初步 怀 


疑 是 单 板 自身 故障 导致 无 法 注册 成 功 ; 如 果 单 板 A 在 新 的 槽 位 上 可 以 注册 成 功 , 同 时 单 板 B 
无 法 注册 成 功 , 则 可 以 初步 怀疑 是 主 控 板 或 者 机 框 故障 导致 单 板 无 法 注册 成 功 。 
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x. = = == a 5.1.6 S12500/S9500E 产品 
05 交换 机 产品 5.1 高 端 产品 风扇 故障 排查 步骤 详解 


1. 开始 

S12500/S9500E 产品 出 现 风扇 故障 问题 ,首先 应 确认 风扇 指示 灯 状 态 , 命 令 行 确认 风扇 
运行 状态 .设备 是 否 打印 风扇 异常 信息 。 

如 果 风 扇 指示 灯 蜡 常 , 或 者 命令 行 查询 到 风扇 运行 状态 异常 ,或 者 设备 打印 风扇 异常 信 
息 , 则 需要 拔 出 风扇 框 观察 确认 是 否 有 风扇 停 转 , 插 拔 风扇 框 并 交叉 验证 确认 故障 ,是 否 有 蜡 
物 。 确 认 故 障 后 需要 收集 相关 故障 信息 反馈 400。 

如 果 风 扇 指示 灯 正 常 ,命令 行 查询 风扇 运行 状态 正常 ,同时 设备 没有 打印 风扇 异常 信息 ， 
则 说 明 风 扇 运行 正常 ,如 果 还 有 疑问 ,请 拨打 400-810-0504 寻求 帮助 。 

2. 流程 图 相关 操作 说 明 

(1) 确认 故障 现象 

确认 风扇 指示 灯 状 态 ,命令 行 确认 风扇 运行 状态 .设备 是 否 打印 风扇 异常 信息 。 

O 风扇 框 指示 灯 说 明 。 风 扇 框 指示 灯 说 明 如 表 5-4 所 示 。 


表 5-4 风扇 框 指示 灯 说 明 


指示 灯 颜色 状态 & x 
Bus 绿色 NX 风扇 框 出 现 故障 
ITIN KR 风扇 框 处 于 正常 运行 状态 
灯 灭 风扇 框 处 于 正常 运行 状态 
ALM 红色 灯 闪 烁 
>e" 风扇 框 处 于 故障 状态 


@ 命令 行 确认 风扇 运行 状态 .Normal 表示 状态 正常 ,Fault 和 Absent 表示 状态 异常 ,或 
者 风扇 框 不 在 位 。 
<H3C>display fan 


Fan-tray state on chassis 0: 
Fan-tray 1 state: Normal 


© 设备 打印 风扇 异常 信息 如 下 。 


%Jun 26 10:12:24:805 2013 H3C DEV/3/FAN_ABSENT:Chassis 2 Fan 1 is absent. %Jun 26 10:12: 
32:805 2013 H3C DEVD/2/DRV _ DEV _ FAN _ CHANGE: Chassis 2: Fan communication state 
changed: Fan 1 changed to fault. % Jun 26 10:12:42:405 2013 H3C DEV/2/FAN_FAILED:Chassis 2 
Fan 1 failed. 


(2) 判断 风扇 是 否 停 转 , 是 否 有 异物 

O 拔 出 风扇 框 ,( 正 常情 况 下 , 申 于 惯性 的 力量 ,风扇 框 在 刚 拔 出 来 的 时 候 , 风 扇 的 扇 叶 还 
是 会 继续 旋转 一 段 时 间 ,如 果 有 风扇 没有 在 旋转 状态 , 则 说 明 该 风扇 之 前 已 处 于 停止 转动 的 异 
常 状态 ) 观 察 是 否 有 风扇 处 于 停止 状态 ,如果 有 , 则 可 以 判断 风扇 故障 ,如 果 没 有 ,请 继续 按照 
后 续 步 又 排查 。 
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@ 拔 出 风扇 框 后 ,查看 风扇 框 内 是 否 有 异物 ,如 果 有 异物 ,会 导致 风扇 运行 异常 ,清除 异 
物 解 决 ; 如 果 确 认 没有 异物 ,请 继续 按照 后 续 步 又 排查 。 

(3) 插入 风扇 框 确认 插 紧 

风扇 框 没 有 插 紧 ,会 导致 风扇 运行 状态 异常 。 

O 搬入 风扇 框 , 抬 起 风扇 框 插入 机 框 风扇 框 槽 位 ,向 内 缓慢 推 人 到 底 ;: 手动 将 风扇 框 面 
板 两 侧 的 松 不 脱 螺钉 导 正 后 拧 和 人 ,再 使 用 螺丝 刀 拧 紧 螺 钉 ,以 确保 良好 固定 。 

O 观察 风扇 是 否 正常 运行 ,指示 灯 状 态 是 否 正 常 ,命令 行 查询 风扇 运行 状态 是 否 正常 ,是 
否 有 风扇 异常 信息 打印 ; 如 果 风 扇 运 行 恢 复 正常 , 则 说 明之 前 风扇 框 没 有 持 紧 ; 如 果 故 障 现 
象 仍 存在 ,请 继续 按照 后 续 步 又 排查 。 

(4) 交叉 验证 

交叉 验证 , 即 把 疑似 故障 的 风扇 框 和 正常 运行 的 风扇 框 互 换 机 框 测试 ,确认 故障 是 跟着 风 
扇 框 走 , 还 是 跟着 机 框 走 ; 如 果 故 障 跟 着 风扇 框 走 , 则 为 风扇 框 故 障 , 请 更 换 解 决 ,否则 为 机 框 
故障 ,请 按照 后 续 步 又 收集 信息 并 将 排查 结果 反馈 400。 如 果 现 场 不 存在 交叉 验证 的 条 件 ,请 
按照 后 续 步 又 收集 信息 并 反馈 400。 

以 上 所 有 操作 请 在 征 得 客户 同意 下 进行 ,根据 交叉 验证 的 结果 确认 故障 所 在 ,拨打 
400-810-0504 寻求 帮助 。 

(5) 收集 故障 信息 

确认 电源 状态 异常 ,或 者 日 志 中 有 电源 异常 告警 信息 ,需要 收集 故障 信息 ,反馈 给 400 
排查 。 

故障 信息 请 收集 设备 的 诊断 信息 .日 志 信 息 文件 和 diagfile 文件 ,具体 收集 方法 如 下 。 

D 收集 设备 诊断 信息 。 

MA: display diagnostic-information 

执行 完 上 述 这 条 命令 之 后 ,请 将 在 CF 卡 根 目录 中 生成 的 diag 文件 导出 来 保存 。 

例如 : 


<H3C>display diagnostic-information 

Save or display diagnostic information (Y=save, N=display)? [Y/N] :y 
Please input the file name( * . diag) [cfa0:/default. diag] : 

Diagnostic information is outputting to cfa0:/ default. diag. 

Please wait... 

Save successfully. 

<H3C>4ir cfa0:/ 

Directory of cfa0:/ 


0 drw- - Jul 07 2013 07:16:12 logfile 

1 drw- - Jul07 2013 07:13:04 diagfile 

2 -rw- 4924407 May 06 2013 06:43:32 default. diag 
3 drw- - May 02 2013 03:31:52 diaglog 


1021088 KB total (554020 KB free) 


File system type of cfa0: FAT32 


@ 收集 设备 日 志 信息 文件 。 
命令 : logfile save 
执行 完 上 述 命令 后 ,将 CF 卡 的 logfile 文件 夹 中 的 logfile 文件 全 部 导出 来 保存 。 
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例如 : 


<H3C>logfile save 

Saved the log file buffer to file cfa0:/logfile/logfile2. log successfully. 
<H3C>dir cfa0:/logfile/ 

Directory of cfa0 : /logfile/ 


0 -rw- 10484413 Dec 26 2013 08:37:00 logfilel. log 
1 -rw- 150941 Dec 14 2013 10:10:54 logfile. log 
2 -rw- 127193 Jan 21 2013 09:41:28 logfile2. log 


1021808 KB total (140128 KB free) 


File system type of cfa0: FAT16 


© 收集 设备 diagfile 信息 文件 。 

(S9500/S8500.SR8800 的 R32XX 版 本 及 之 前 版 本 ,没有 该 文件 ,无 须 收集 。) 
在 系统 视图 下 输入 _hide, 进 入 到 隐 含 模式 。 

fh; _diagnose file save 

执行 完 上 述 命令 后 ,将 CF 卡 的 diaglog 文件 夹 中 的 log 文件 全 部 导出 来 保存 。 
例如 : 


[H3C]_hide 

Now you enter a hidden command view for developer's testing, some commands may 
affect operation by wrong use, please carefully use it with our engineer's 

direction. 

[H3C-hidecmd] _diagnose-file save 


Info: Diagnostic file buffer is empty. 
[H3C-hidecmd] 

<H3C>dir cfa0 : / diaglog/ 
Directory of cfa0 : / diaglog/ 


-rw- 2418760 Jul09 2013 01:43:16 diagfilel.log 
-rw- 69266 Dec 03 2013 09:38:36 diagfile. log 

-rw- 4291181 Dec 10 2013 12:27:48 diagfile2.log 
-rw- 292979 Jul 07 2013 07:31:52 diagfile3. log 
-rw- 5240510 Jul 08 2013 11:55:00 diagfile4. log 
-rw- 110346 Jul 07 2013 08:51:44 diagfile5.log 
-rw- 192711 Jul 09 2013 12:03:26 diagfile6. log 
-rw- 166363 Jul 09 2013 08:38:20 diagfile7.log 
-rw- 17121 Jul 08 2013 16:37:48 diagfile8. log 
-rw- 101888 Jul 07 2013 07:54:28 diagfile9.log 

0 -rw- 2375568 Jul 09 2013 08:06:34 diagfile10. log 


= e à o m = Q to o 


127206 KB total (56252 KB free) 


File system type of cfa0: FAT16 


确认 设备 
报销 信息 


拨打 热线 
400-310-0504 
4t 
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e aen w 5.1.7 S12500/S9500E 产品 镜像 s: 
05 交换 机 产品 组 无 法 下 发 故障 排查 步骤 详解 


1. 开始 

S12500/S9500E 产品 出 现 镜像 组 无 法 下 发 问题 ,首先 应 该 确认 设备 报错 信息 ,然后 根据 
报错 信息 原因 判断 镜像 组 无 法 下 发 的 原因 ,并 采用 相应 解决 方法 。 

如 果 设 备 没 有 报错 信息 ,请 收集 信息 并 拨打 400-810-0504 寻求 帮助 。 

2. 流程 图 相关 操作 说 明 

(1) 确认 设备 报错 信息 

镜像 组 下 发 时 ,如 果 镜 像 组 配置 超过 了 设备 自身 的 硬件 规格 ,设备 会 提示 错误 ,此 时 需要 
调整 镜像 组 配置 解决 。 

请 确认 设备 报错 信息 是 否 是 如 下 报错 信息 中 的 一 种 ,如 果 不 是 或 者 没有 报错 ,请 按照 后 续 
步骤 收集 信息 ,并 拨打 400-810-0504 寻求 帮助 。 


Error: Local mirroring-group number exceeds hardware capability. 
Error: Failed to configure port mirroring due to hardware unsupported! 


以 上 报错 可 能 会 在 命令 行 下 发 镜像 组 配置 时 出 现 。 

(2) 调整 镜像 组 配置 

Q) “Error: Local mirroring-group number exceeds hardware capability. ” 。 

打印 上 述 告 警 的 原因 为 镜像 组 配置 遇 到 如 下 设备 限制 。 

(a) S9500E/S12500 不 支持 一 对 多 的 镜像 ,即将 一 个 端口 的 报 文 镜像 到 多 个 监控 端口 上 。 

(b) S9500E/S12500 只 支持 入 方向 流 镜像 。 

(c) 同一 个 端口 不 可 以 作为 不 同 镜像 组 的 监控 端口 和 被 监控 端口 。 

(d) S9500E 的 端口 镜像 支持 同方 向 (分 为 入 方向 和 出 方向 ) 的 分 析 口 数量 存在 下 面 的 
限制 。 

对 于 24 个 端口 的 GE 接口 线 卡 板 ,1 块 单 板 只 支持 配置 1 个 分 析 口 。 

对 于 48 个 端口 的 GE 接口 线 卡 板 ( 除 了 LSR2GV48REB1 单 板 之 外 ) ,1 个 单 板 支持 配置 
2 个 分 析 口 ,其 中 前 24 个 端口 支持 配置 1 个 分 析 口 ,后 24 个 端口 支持 配置 1 个 分 析 口 。 

对 于 LSR2GV48REB1 单 板 ,1 块 单 板 只 支持 配置 1 个 分 析 口 。 

对 于 10GE 接口 线 卡 板 ( 除 了 LSR1XP16REB1 单 板 之 外 ) ,按照 端口 顺序 , 单 板 上 每 2 个 
10GE 端 只 支持 配置 1 个 分 析 口 。 

对 于 LSR1XP16REB1 单 板 ,1 个 单 板 支持 配置 2 个 分 析 口 ,按照 端口 顺序 ,前 8 个 10GE 
端口 支持 配置 1 个 分 析 口 ,后 8 个 10GE 端口 支持 配置 1 个 分 析 口 。 

(e) S12500 的 端口 镜像 支持 同方 向 (分 为 入 方向 和 出 方向 ) 的 分 析 口 数量 存在 下 面 的 
限制 。 

对 于 24 个 端口 的 GE 接口 线 卡 板 ,1 块 单 板 只 支持 配置 1 个 分 析 口 。 

对 于 48 个 端口 的 GE 接口 线 卡 板 ,1 块 单 板 支持 配置 2 个 分 析 口 ,其 中 前 24 个 端口 支持 
配置 1 个 分 析 口 ,后 24 个 端口 支持 配置 1 个 分 析 口 。 

对 于 10GE 接口 线 卡 板 ( 除 了 LST1XP32R 单 板 之 外 ) ,按照 端口 顺序 , 单 板 上 每 2 个 
10GE 端口 只 支持 配置 1 个 分 析 口 。 
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对 于 LST1XP32R 单 板 ,1 个 单 板 支持 配置 4 个 分 析 口 ,按照 端口 顺序 ,前 8 个 10GE 端口 
支持 配置 1 个 分 析 口 ,后 8 个 10GE 端口 支持 配置 1 个 分 析 口 。 

请 调整 镜像 组 端口 ,以 规避 上 述 设备 限制 。 

如 果 要 实现 一 对 多 镜像 ,具体 规避 解决 方法 请 参考 ( 百 日 维新 ) 第 一 期 案例 “一 法 定 乾 
坤 一 一 S12500S9500E 交换 机 镜像 功能 限制 问题 的 解决 方法 ”, 和 DMP 归档 案例 “高 端 产 品 镜 
像 限 制 与 解决 方法 总 结 V1. 0 耿 古 月 ”( 归 档 路 径 : 技术 支持 中 心 - S12500/S9500E-6 经 3 
案例 ) 。 

© “Error; Failed to configure port mirroring due to hardware unsupported!” , 

IRF 模式 下 ,设备 不 支持 跨 框 配置 端口 镜像 。 如 果 配 置 镜像 的 目的 端口 和 源 端口 位 于 
IRF 模式 下 的 两 台 不 同 的 设备 上 ,就 会 打印 上 述 提示 信息 。 

规避 方法 请 参考 ( 百 日 维新 》 第 一 期 案例 “一 法 定 乾 坤 一 一 S12500S9500E 交换 机 镜像 功 
能 限制 问题 的 解决 方法 ,和 DMP 归档 案例 “高 端 产 品 镜像 限制 与 解决 方法 总 结 V1. 0 Hk ar 
月 "(归档 路 径 : 技术 支持 中 心 - S12500/S9500E-6 经 验 案 例 )。 

如 果 排 除 以 上 问题 后 , 单 板 CPU 利用 率 还 存在 异常 高 的 问题 ,请 拨打 400-810-0504 寻求 
帮助 。 

(3) 收集 故障 信息 

确认 电源 状态 异常 ,或 者 日 志 中 有 电源 异常 告警 信息 ,需要 收集 故障 信息 ,反馈 给 400 
排查 。 

故障 信息 请 收集 设备 的 诊断 信息 日志 信息 文件 和 diagfile 文件 ,具体 收集 方法 如 下 。 

D 收集 设备 诊断 信息 。 

MS: display diagnostic-in formation 

执行 完 上 述 这 条 命令 之 后 ,请 将 在 CF 卡 根 目 录 中 生成 的 diag 文件 导出 来 保存 。 

例如 : 


<H3C>display diagnostic-information 

Save or display diagnostic information (Y=save, N= display)? [Y/N] :y 
Please input the file name( * . diag) [cfa0 : / default. diag] : 

Diagnostic information is outputting to cfa0:ydefault. diag. 

Please wait... 

Save successfully. 

<H3C>4ir cfa0:/ 

Directory of cfa0 : / 


0 drw- - Jul07 2013 07:16:12 logfile 

1 drw- - Jul 07 2013 07:13:04 diagfile 

z -rw- 4924407 May 06 2013 06:43:32 default. diag 
3 drw- - May 02 2013 03:31:52 diaglog 


1021088 KB total (554020 KB free) 
File system type of cfa0: FAT32 
@ 收集 设备 日 志 信 息 文件 。 
命令 : logfile save 


执行 完 上 述 命令 后 ,将 CF 卡 的 logfile 文件 夹 中 的 logfile 文件 全 部 导出 来 保存 。 
例如 : 
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<H3C>logfile save 


Saved the log file buffer to file cfa0 :/logfile/logfile2. log successfully. 
<H3C>dir cfa0:/logfile/ 
Directory of cfa0 : /logfile/ 


0 -rw- 10484413 Dec 26 2013 08:37:00 logfilel.log 
ul -rw- 150941 Dec 14 2013 10:10:54 logfile. log 
-rw- 127193 Jan 21 2013 09:41:28 logfile2. log 
1021808 KB total (140128 KB free) 


File system type of cfa0: FAT16 


© 收集 设备 diagfile 信息 文件 。 

(S9500/S8500.SR8800 的 R32XX 版 本 及 之 前 版 本 ,没有 该 文件 ,无 须 收集 。) 
在 系统 视图 下 输入 _hide, 进 入 到 隐 含 模式 。 

MA: _diagnose file save 

执行 完 上 述 命令 后 ,将 CF 卡 的 diaglog 文件 夹 中 的 log 文件 全 部 导出 来 保存 。 
例如 : 


[H3C]_hide 

Now you enter a hidden command view for developer's testing, some commands may 
affect operation by wrong use, please carefully use it with our engineer's 

direction. 


[H3C-hidecmd] _diagnose-file save 


: Diagnostic file buffer is empty. 
[H3C-hidecmd] 

<H3C>4ir cfa0 : / diaglog/ 
Directory of cfa0 : / diaglog/ 


-rw- 2418760 Jul 09 2013 01:43:16 diagfilel.log 
-rw- 69266 Dec 03 2013 09:38:36 diagfile. log 
-rw- 4291181 Dec 10 2013 12:27:48 diagfile2.log 
=TW- 292979 Jul 07 2013 07:31:52 diagfile3. log 
-rw- 5240510 Jul 08 2013 11:55:00 diagfile4. log 
110346 Jul 07 2013 08:51:44 diagfile5. log 
-rw- 192711 Jul 09 2013 12:03:26 diagfile6. log 
-rw- 166363 Jul 09 2013 08:38:20 diagfile7. log 
Ww- 17121 Jul 08 2013 16:37:48 diagfile8. log 
-rw- 101888 Jul 07 2013 07:54:28 diagfile9. log 
0 -rw- 2375568 Jul 09 2013 08:06:34 diagfile10. log 
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127206 KB total (56252 KB free) 


File system type of cfa0: FAT16 
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z a F 4 Eeo 5.1.8 高 端 交换 机 策略 路 由 
5 交换 机 产品 5.1 Fm an 不 生效 故障 排查 步骤 详解 


1. 开始 

策略 路 由 不 生效 问题 定位 故障 的 思路 是 : 先 查 看 ACL 规则 是 否 匹 配 了 流量 ,ACL 资源 
是 否 超 规格 ,之 后 查看 策略 路 由 下 一 跳 是 否 可 达 , 最 后 查看 是 否 配置 了 packet-filter/QoS 策略 
等 功能 与 策略 路 由 冲突 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 ACL 规则 是 否 匹 配 流量 

查看 ACL 规则 的 配置 ,确认 ACL 规则 匹配 了 流量 。 

命令 : display acl acl-number 

例如 : 通过 命令 确认 ACL 规则 是 否 匹 配 了 需要 做 策略 路 由 的 流量 。 


<H3C>display acl 3000 
Advanced ACL 3000, named -none-, 2 rules, 
ACL's step is 5 
rule 0 permit ip source 10.0.0.0 0.0.0.255 
rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 100.0.0.0 0.0.0.255 


(2) 修改 /增加 ACL 规则 

若 通过 display acl 命令 ,查看 规则 中 所 写 的 rule 规格 错误 , 则 需要 重新 下 发 rule 命令 , 修 
改 rule 规则 ,确保 rule 规则 匹配 到 流量 。 如 果 ACL 中 rule 规则 没有 匹配 所 需 做 策略 路 由 的 
流量 , 则 需 新 增 rule 规则 匹配 该 流量 。 

命令 : rule 

例如 : ACL 规则 中 将 需要 做 策略 路 由 的 源 IP 为 20. 0. 0. 0/24, H KY IP 为 200. 0. 0. 0/24 
的 流量 错误 写 为 源 IP 为 20.0.0.0/24. H KY IP 为 100. 0. 0. 0/24, 同 时 漏 写 源 IP 为 30. 0. 0.0/ 
24 的 流量 , 则 需 下 发 命令 更 正和 增加 ACL 规则 。 


[H3C-acl-adv-3000] rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 200.0.0.0 0.0.0.255 
Info: The rule id already exists, and the current operation is modifying the rule. 
CH3C-acl-adv-3000] rule 10 permit ip source 30.0.0.0 0.0.0.255 

[H3C-acl-adv-3000] display this 

# 
acl number 3000 

rule 0 permit ip source 10.0.0.0 0.0.0.255 

rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 200.0.0.0 0.0.0.255 

rule 10 permit ip source 30.0.0.0 0.0.0.255 


(3) 检查 ACL 资源 是 否 超 规格 

查看 单 板 ACL 资源 利用 情况 ,判断 ACL 资源 是 否 已 被 耗 尽 ,导致 下 发 的 ACL 规则 实际 
没有 生效 。 

V5 平台 命令 : display acl resource 


V7 平 台 命令 : dis qos-acl resource slot number 
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例如 : 通过 下 发 命令 查看 ,各 个 槽 位 单 板 ACL 资源 利用 情况 。 
Qy VS. 


< H3C>-4isplay acl resource 
Interface: 
GE2/0/1 to GE2/0/24 


Type Total Reserved Configured Remaining Usage 
ACL rule 2048 0 1978 70 96% 
Inbound ACL 2048 0 1978 70 96% 

OutboundACL 2048 0 0 70 0% 
Interface: 


XGE3/0/1 to XGE3/0/2 


Type Total Reserved Configured Remaining Usage 
ACL rule 8192 96 3 8093 1% 
Inbound ACL 8192 96 3 8093 1% 
OutboundACL 8192 0 0 8093 0% 
Interface: 


XGE3/0/3 to XGE3/0/4 


ACL rule 8192 96 3 8093 1% 

Inbound ACL 8192 96 3 8093 1% 

OutboundACL 8192 0 0 8093 0% 
@ V7. 


[H3C]dis qos-acl resource slot 2 
Interfaces: GE2/0/1 to GE2/0/24 


Type Total Reserved Configured Remaining Usage 
ACL rule 8192 96 6 8090 1% 
Inbound ACL 8192 96 5 8090 1% 
Outbound ACL 8192 0 1 8090 0% 
IN-MQC-CAR 8192 0 0 8192 0% 
IN-COMM-CAR 7168 0 0 7168 0% 
IN-COUNT 8192 0 64 8128 0% 
OUT-MQC-CAR 8192 0 64 8128 0% 
OUT-COUNT 8192 0 64 8128 0% 


ACL WIE k i J RA 09, 3Ë B. Inbound/Outbound 方向 共用 芯片 ACL 资源 。 通 过 
display acl resource 命令 可 以 看 到 所 有 槽 位 芯片 ACL 资源 的 利用 情况 ,如 上 V5 所 示 ,2 模 位 
单 板 的 GE2/0/1 至 GE2/0/24 属于 同一 个 芯片 ,2048 的 ACL 资源 由 这 24 个 接口 共用 。 从 示 
例 中 看 到 2 槽 位 单 板 2048 的 ACL 资源 已 利用 了 96% ,已 接近 ACL 资源 耗 尽 ,会 导致 涉及 
ACL 下 发 的 功能 正常 应 用 ,包括 策略 路 由 的 使 用 。 而 3 槽 位 的 XG3/0/1 和 XG3/0/2 属于 同 
一 个 芯片 ,共用 8192 的 ACL 资源 ,当前 ACL 资源 利用 率 为 1%, ACL 资源 充足 。XG3/0/3 
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和 XG3/0/4 类 似 。V7 平台 的 情况 一 样 。 
(4) 检查 策略 路 由 下 一 跳 是 否 可 达 


检查 策略 路 


所 配置 中 下 一 跳 是 否 可 达 , 如 查看 接口 状态 .ARP 表 项 、 路 由 表 或 ping 测试 。 


MA: display inter face inter face-type inter face-number 


displayarp x.x. x.x 


display ip routing-table x.x. x.x 


ping 


£. #, £. £ 


例如 : 策略 路 由 下 一 跳 配 置 为 100. 0. 0. 2 ,通过 查看 接口 状态 `.ARP 表 项 、 路 由 表 或 ping 
测试 确定 策略 路 由 下 一 跳 是 否 可 达 。 


IP Address 
100.0.0.2 


<H3C>display interface GigabitEthernet 2/0/1 
GigabitEthernet2/0/1 current state: Up 


一 H3C>displayarp 100.0.0.2 


<H3C>displayip routing-table 100.0.0.2 
RoutingTable : Public 
SummaryCount : 1 


Destination/Mask Proto Pre Cost NextHop Interface 
100.0.0.0/24 Direct 0 0 100.0.0.1 Vlan100 


<H3C>ping 100.0.0.2 
PING 100. 
Reply from 100.0.0.2: bytes=56 Sequence=0ttl=255 time=1 ms 
Reply from 100.0.0.2: bytes=56 Sequence=1ttl=255 time=1 ms 
Reply from 100.0.0.2: bytes=56 Sequence 一 2ttl 一 255 time=1 ms 
Reply from 100.0.0.2: bytes=56 Sequence=3ttl=255 time=2 ms 
Reply from 100.0.0.2: bytes=56 Sequence=4ttl=255 time=1 ms 


--- 100.0.0.2ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/2 ms 


Type: S-Static D-Dynamic A-Authorized M-Multiport 
MAC Address VLANID Interface Aging Type 
0023-8911-7400 100 GE2/0/1 N/A D 


0.0.2:56 data bytes, press CTRL_C to break 


(5) 排查 路 由 


策略 路 由 下 


一 跳 不 通 ,需要 排查 路 由 问题 。 


(6) 检查 设备 是 否 配置 了 packet-filter/QoS 策略 等 功能 

当 设 备 在 相关 视图 下 配置 了 packet-filter 或 QoS 策略 功能 ,由 于 packet-filter 和 QoS 策 
略 的 优先 级 比 策略 路 由 高 ,因而 策略 路 由 下 发 不 生效 。 需 要 结合 所 需 做 策略 路 由 的 流量 ACL 
规则 ,对 配置 进行 排查 。 


MA: display qos policy inter face inter face-type interface-number 


display packet-filter 
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例如 : acl number 3000 匹配 了 所 需 做 策略 路 由 的 流量 ,同时 在 设备 上 下 发 了 packet- 
filter/ QoS 策略 功能 。packet-filter 可 以 在 二 /三 层 物 理 接 口 及 三 层 虚 接 口上 下 发 ,设备 上 可 
以 配置 基于 接口 /VLAN/ 全 局 /控制 平面 应 用 的 QoS 策略 , 均 需 要 排查 。 需 注意 ,如 下 示例 
中 ,acl number 3000 同时 作为 策略 路 由 、packet-filter、QoS 策略 的 感 兴趣 流量 匹配 条 件 , 并 且 
实际 现 网 中 可 能 存在 不 同 ACL ,但 是 规则 匹配 相同 的 流量 做 packet-filter/QoS 策略 ,也 会 造 
成 策略 路 由 不 生效 ,因此 需要 排查 不 同 的 ACL 中 是 否 有 相同 的 rule 规则 。 

说 明 : 设备 的 软件 版 本 为 S12500-CMW520-R1335/S9500E-CMW520-R1335 之 前 的 版 
本 ,策略 路 由 的 优先 级 低 于 QoS 策略 ,涉及 QoS 策略 功能 部 分 的 排查 。 而 设备 的 软件 版 本 为 
S12500-CMW520-R1335/S9500E-CMW520-R1335 及 之 后 的 版 本 ,策略 路 由 的 优先 级 高 于 
QoS 策略 ,不 涉及 QoS 策略 功能 部 分 的 排查 。 


[H3C] dis packet-filter all 
Interface: Vlan-interface100 
In-bound Policy: 

acl 3000, Successful 
Out-bound Policy: 

[H3C-Vlan-interface100]dis this 

# 

interface Vlan-interface100 

ip address 100.0.0.1 255.255.255.0 
packet-filter 3000 inbound 

ip policy-based-route 1 

# 


return 


[H3C]display qos policy interface GigabitEthernet 2/0/1 
Interface: GigabitEthernet2/0/1 
Direction: Inbound 
Policy: 1 

Classifier: 1 
Operator: AND 
Rule(s) : If-match acl 3000 
Behavior: 1 
Accounting Enable: 
0 (Packets) 
Redirect enable: 
Redirect type: next-hop 
Redirect destination: 
200.0.0.2 
Redirect fail-action: forward 

[H3C-GigabitEthernet2/0/1]dis this 

# 

interface GigabitEthernet2/0/1 

port link-mode bridge 
port access vlan 100 
qos apply policy 1 inbound 


return 


(7) 修改 配置 
通过 上 一 步 的 排查 发 现 策略 路 由 与 packet-filter/ QoS 策略 同时 下 发 ,导致 策略 路 由 不 生 
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效 , 需 修 改 配置 。 

O 策略 路 由 与 packet-filter 同时 下 发 的 情况 。 包 过 滤 下 发 在 Inbound 方向 时 ,将 导致 策 
略 路 由 感 兴趣 的 流量 在 执行 策略 路 由 动作 之 前 被 过 滤 掉 。 包 过 滤 下 发 在 Outbound 方向 时 ， 
将 导致 策略 路 由 动作 执行 完 后 , 报 文 被 过 滤 掉 ,流量 仍 无 法 按 策略 路 由 需求 转发 出 去 。 在 上 述 
两 种 情况 下 , 均 需 要 在 packet-filter 的 ACL 规则 中 ,将 需要 正常 转发 的 流量 rule 规则 去 掉 。 

© 策略 路 由 与 QoS 策略 同时 下 发 的 情况 。 策 略 路 由 感 兴趣 的 流量 先 由 QoS 策略 匹配 后 
处 理 了 。 该 种 情况 下 , 需 重 新 了 解 和 细 化 需求 ,是 否 可 以 通过 细 化 QoS 策略 ACL 规则 和 策略 
路 由 ACL 规则 ,使 两 个 ACL 规则 不 冲突 ,流量 能 区 分 出 来 按 不 同 的 功能 执行 动作 。 

说 明 : 设备 的 软件 版 本 为 S12500-CMW520-R1335/S9500E-CMW520-R1335 之 前 的 版 
本 ,策略 路 由 的 优先 级 低 于 QoS 策略 ,涉及 QoS 策略 功能 部 分 的 排查 。 而 设备 的 软件 版 本 为 
S12500-CMW520-R1335/S9500E-CMW520-R1335 及 之 后 的 版 本 ,策略 路 由 的 优先 级 高 于 
QoS 策略 ,不 涉及 QoS 策略 功能 部 分 的 排查 。 


CR16000/SR 990 Y X, u 风 、 前 故 É +E £ 


— ÅT- kit 3 E$ 


---y 志 示 上 一 步 结果 出 现 训 题 


PLESAT 
te, REHM 


FRITH 
400- 310-0504 


医 5 一 > 交换 机 产品 323 


s maa Fama 5.1.9 CR16000/SR8800 产品 
5 交换 机 产品 5.1 高 端 产品 风扇 故障 排查 步骤 详解 


1. CR16000/SR8800 产品 风扇 故障 排查 

CR16000/SR8800 产品 出 现 风扇 故障 问题 ,首先 应 确认 风扇 指示 灯 状 态 ,命令 行 确 认 风 扇 
运行 状态 .设备 是 否 打印 风扇 异常 信息 。 

如 果 风 扇 指示 灯 蜡 常 ,或 者 命令 行 查询 到 风扇 运行 状态 异常 ,或 者 设备 打印 风扇 异常 信 
息 , 则 需要 拔 出 风扇 框 观察 确认 是 否 有 风扇 停 转 , 插 拔 风扇 框 并 交叉 验证 确认 故障 ,是 否 有 蜡 
物 。 确 认 故 障 后 需要 收集 相关 故障 信息 反馈 400. 

如 果 风 扇 指示 灯 正 常 ,命令 行 查询 风扇 运行 状态 正常 ,同时 设备 没有 打印 风扇 异常 信息 ， 
则 说 明 风 扇 运 行 正 常 ,如 果 还 有 疑问 ,请 拨打 400-810-0504 寻求 帮助 。 

2. 流程 图 相关 操作 说 明 

(1) 确认 故障 现象 

确认 风扇 指示 灯 状 态 ,命令 行 确认 风扇 运行 状态 .设备 是 否 打印 风扇 异常 信息 。 

O 风扇 框 指示 灯 说 明 。CR16000 风扇 框 指示 灯 说 明 如 表 5-5 所 示 。 


表 5-5 CR16000 风扇 框 指示 灯 说 明 


指示 灯 颜色 状态 # x 
TK 风 南 框 出 现 故 障 
Sao, s MTN 风扇 框 处 于 正常 运行 状态 
TK 风扇 框 处 于 正常 状态 
ALM 红色 灯 闪 烁 
£ 
ass 风扇 框 处 于 故障 状 


SR8800 风扇 框 指示 灯 说 明 如 表 5-6 所 示 。 
表 5-6 SR8800 风扇 框 指示 灯 说 明 


指示 灯 颜色 状态 合 x 
EK UNE EIIE 
PEN ze TEA 风扇 框 处 于 正常 运行 状态 
pen "Eq HK 风扇 框 处 于 正常 状态 
TEX 风 记 框 处 于 故障 状态 


© 命令 行 确认 风扇 运行 状态 ,Normal 表示 状态 正常 ,Fault 和 Absent 表示 状态 异常 ,或 
者 风扇 框 不 在 位 。 


CR16000 
< H3C>4isplay fan 
Fan-tray state on chassis 0: 
Fan-tray 1 state: Normal 
SR8800 
<H3C>display fan 

Fan 1 State: Normal 
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@ 设备 打印 风扇 异常 信息 。 


Jun 26 10:12:24:805 2013 H3C DEV/3/FAN_ABSENT:Fan 1 is absent. % Jun 26 10:12:32:805 
2013 H3C DEVD/2/DRV_DEV_FAN_CHANGE: Fan communication state changed: Fan 1 changed to 
fault. %Jun 26 10:12:42:405 2013 H3C DEV/2/FAN_FAILED:Fan 1 failed. 


(2) 判断 风扇 是 否 停 转 ,是 否 有 异物 

O 拔 出 风扇 框 ,( 正 常情 况 下 , 申 于 惯性 的 力量 ,风扇 框 在 刚 拔 出 来 的 时 候 , 风 扇 的 扇 叶 还 
是 会 继续 旋转 一 段 时 间 ,如果 有 风扇 没有 在 旋转 状态 , 则 说 明 该 风扇 之 前 已 处 于 停止 转动 的 异 
常 状态 ) 观 察 是 否 有 风扇 处 于 停止 状态 ,如果 有 , 则 可 以 判断 风扇 故障 ,如 果 没 有 ,请 继续 按照 
后 续 步 又 排查 。 

© 拔 出 风扇 框 后 ,查看 风扇 框 内 是 否 有 异物 ,如 果 有 异物 ,会 导致 风扇 运行 异常 ,清除 异 
物 解 决 ; 如 果 确 认 没有 异物 ,请 继续 按照 后 续 步 又 排查 。 

(3) 插入 风扇 框 确认 插 紧 

风扇 框 没 有 插 紧 ,会 导致 风扇 运行 状态 异常 。 

O 搬入 风扇 框 , 抬 起 风扇 框 插入 机 框 风 扇 框 槽 位 ,向 内 缓慢 推 人 到 底 ; 手动 将 风扇 框 面 
板 两 侧 的 松 不 脱 螺钉 导 正 后 拧 和 ,再 使 用 螺丝 刀 拧 紧 螺 钉 ,以 确保 良好 固定 。 

@ 观察 风扇 是 否 正常 运行 ,指示 灯 状 态 是 否 正 常 ,命令 行 查询 风扇 运行 状态 是 否 正 常 , 是 
和 否 有 风扇 异常 信息 ; 如 果 风 扇 运行 恢复 正常 , 则 说 明之 前 风扇 框 没有 搬 紧 ， 如 果 故 障 现 象 仍 
存在 ,请 继续 按照 后 续 步 骤 排 查 。 

(4) 交叉 验证 

交叉 验证 , 即 把 疑似 故障 的 风扇 框 和 正常 运行 的 风扇 框 互 换 机 框 测试 ,确认 故障 是 跟着 风 
扇 框 走 , 还 是 跟着 机 框 走 ; 如 果 故 障 跟着 风扇 框 走 , 则 为 风扇 框 故障 ,请 更 换 解 决 , 否 则 为 机 框 
故障 ,请 按照 后 续 步 骤 收 集 信 息 并 将 排查 结果 反馈 400。 如 果 现 场 不 存在 交叉 验证 的 条 件 ,请 
按照 后 续 步 骤 收 集 信 息 并 反馈 400。 

以 上 所 有 操作 请 在 征 得 客户 同意 下 进行 ,根据 交叉 验证 的 结果 确认 故障 所 在 ,拨打 
400-810-0504 寻求 帮助 。 

(5) 收集 故障 信息 

确认 电源 状态 异常 ,或 者 日 志 中 有 电源 异常 告警 信息 ,需要 收集 故障 信息 ,反馈 给 400 
排查 。 

故障 信息 请 收集 设备 的 诊断 信息 .日 志 信息 文件 和 diagfile 文件 ,具体 收集 方法 如 下 。 

D 收集 设备 诊断 信息 。 

MA: display diagnostic-in formation 

执行 完 上 述 这 条 命令 之 后 ,请 将 在 CF 卡 根 目 录 中 生成 的 diagfile 文件 导出 来 保存 。 

例如 : 


<H3C>display diagnostic-information 


Save or display diagnostic information (Y= save, isplay)? [Y/N] :y 
Please input the file name( * . diag) [cfa0 : /default. diag] : 

Diagnostic information is outputting to cfa0 :/default. diag. 

Please wait... 

Save successfully. 

<H3C>dir cfa0:/ 
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Directory of cfa0:/ 


0 drw- - Jul07 2013 07:16:12 logfile 

1 drw- - Jul07 2013 07:13:04 diagfile 

2 -rw- 4924407 May 06 2013 06:43:32 default. diag 
Š drw- - May 02 2013 03:31:52 diaglog 


1021088 KB total (554020 KB free) 


File system type of cfa0: FAT32 


@ 收集 设备 日 志 信 息 文件 。 

命令 : logfile save 

执行 完 上 述 命令 后 ,将 CF 卡 的 logfile 文件 夹 中 的 logfile 文件 全 部 导出 来 保存 。 
例如 : 


<H3C>logfile save 


Saved the log file buffer to file cfa0 :/logfile/logfile2 . log successfully. 


<H3C>dir cfa0:/logfile/ 
Directory of cfa0 : /logfile/ 


0 -rw- 10484413 Dec 26 2013 08:37:00 logfilel.log 
1 -rw- 150941 Dec 14 2013 10:10:54 logfile. log 
-rw- 127193 Jan 21 2013 09:41:28 logfile2.log 
1021808 KB total (140128 KB free) 


File system type of cfa0: FAT16 


© 收集 设备 diagfile 信息 文件 。 

(S9500/S8500.SR8800 的 R32XX 版 本 及 之 前 版 本 ,没有 该 文件 ,无 须 收集 。) 
在 系统 视图 下 输入 _hide, 进 入 到 隐 含 模式 。 

命令 : _diagnose file save 

执行 完 上 述 命令 后 ,将 CF 卡 的 diaglog 文件 夹 中 的 log 文件 全 部 导出 来 保存 。 
例如 : 


[H3C]_hide 

Now you enter a hidden command view for developer's testing, some commands may 
affect operation by wrong use, please carefully use it with our engineer's 

direction. 

idecmd]_diagnose-file save 


Info: Diagnostic file buffer is empty. 
[H3C-hidecmd] 

<H3C>dir cfa0:/diaglog/ 
Directory of cfa0 : / diaglog/ 


0 -rw- 2418760 Jul 09 2013 01:43:16 diagfilel.log 
i! -rw- 69266 Dec 03 2013 09:38:36 diagfile. log 

2 -rw- 4291181 Dec 10 2013 12:27:48 diagfile2. log 
3 -rw- 292979 Jul 07 2013 07:31:52 diagfile3. log 
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查看 Smart Unk 查看 Ac、 ARIMAN ` 
组 状态 项 学 习 是 否 正 确 


检查 发 送 / 接 
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5.1.10 Smart Link 
故障 排查 PEEN 
1. 开始 


首先 检查 Smart Link 组 状态 是 否 正常 。 如 果 Smart Link 组 正常 , 则 检查 相关 设备 的 
MAC 和 ARP/ND 表 项 学 习 是 否 正确 。 若 正确 , 则 对 数据 报 文 进行 流量 统计 ,找到 丢 包 的 节 
点 ; 若 不 正确 , 则 检查 Smart Link 保护 VLAN 控制 VLAN 的 配置 ,以 及 Flush 报 文 的 收发 情 
况 。 如 果 Smart Link 组 不 正常 , 则 检查 接口 的 配置 .接口 和 和 链 路 状态 以 及 角色 抢占 配置 是 否 
正确 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 Smart Link 组 状态 

Smart Link 的 端口 状态 分 为 ACTIVE .STANDBY 和 Down, 如 果 状 态 为 Down, 则 表明 
端口 故障 。 检 查 Smart Link 组 中 物理 端口 角色 是 否 符合 预期 ,状态 是 否 异 常 。 正 常情 况 下 ， 
主 端 口 处 于 ACTIVE 状态 ,从 端口 处 于 STANDBY 状态 。 

MA: display smart-link group group-id 

例如 : 通过 命令 查看 ,可 以 确认 Smart Link 组 中 物理 端口 的 角色 和 状态 。 


I 
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[H3C]display smart-link group 1 

Smart link group 1 information: 

Device ID: c4ca-d9c0-5138 

Preemption mode: ROLE 

Preemption delay: 1(s) 

Control VLAN: 10 

Protected VLAN: Reference Instance 1 


Member Role State Flush-count Last-flush-time 
Ethernet2/0/1 MASTER ACTIVE 3 01:55:27 2010/01/01 
Ethernet2/0/2 SLAVE STANDBY 2 01:55:05 2010/01/01 


(2) 检查 接口 配置 

分 别 查看 主 / 从 端口 的 配置 信息 ,确保 加 入 了 正确 的 Smart Link 组 。 

MS: display current-con figuration inter face inter face-type inter face-number 

例如 : 通过 命令 查看 物理 端口 已 加 入 Smart Link 组 ,并 且 禁 用 了 接口 的 STP, RRPP 功 
能 ,并 确保 该 端口 不 是 聚合 成 员 端口 或 业务 环 回 组 成 员 端口 。 


interface Ethernet2/0/1 
port link-mode bridge 
port link-type trunk 
port trunk permit vlan 1 to 10 
stp disable 
port smart-link group 1 master 
# 
interface Ethernet2/0/2 
port link-mode bridge 
port link-type trunk 
port trunk permit vlan 1 to 10 


EA 交 挨 机 产品 


329 


stp disable 
port smart-link group 1 slave 


(3) 检查 接口 状态 、 链 路 状态 
检查 主 端口 ,从 端口 的 状态 ,以 及 物理 链 路 是 否 良 好 。 
命令 : display inter face inter face-type inter face-number 


例如 : 通过 命令 查看 主 端口 状态 是 否 Up ,接口 下 是 否 有 错 包 增 长 。 


[H3C] display smart-link group 1 


[H3C] display interface Ethernet 2/0/1 
Ethernet2/0/1 current state: Down 


Input: 35 input errors, O runts，0 giants，0 throttles 
35 CRC, 0 frame, - overruns, 0 aborts 
- ignored, - parity errors 


Output: 0 output errors, - underruns, - buffer failures 
0 aborts, 0 deferred, 0 collisions, 0 late collisions 
0 lost carrier, - no carrier 


Ethernet2/0/1 MASTER Down 3 01:55:27 2010/01/01 
Ethernet2/0/2 SLAVE ACTIVE 4 22:08:51 2010/01/01 


(4) 检查 配置 角色 抢占 


当主 链 路 故障 , 则 从 端口 从 STANDBY 切换 到 ACTIVE, 如 果 主 链 路 恢复 ,默认 情况 下 主 
端口 不 进行 抢占 ,仍然 保持 阻塞 状态 。 如 果 配 置 了 主 端口 角色 抢占 ,需要 检查 抢占 延 时 是 否 


过 长 。 
命令 : display smart-link group group-id 


例如 : 通过 命令 查看 ,可 以 确认 Smart Link 组 中 物理 端口 的 角色 和 状态 。 


[H3C]display smart-link group 1 

Smart link group 1 information: 

Device ID: c4ca-d9c0-5138 

Preemption mode: ROLE 

Preemption delay: 1(s) 

Control VLAN: 10 

Protected VLAN: Reference Instance 11 


Member Role State Flush-count Last-flush-time 
Ethernet2/0/1 MASTER ACTIVE 3 01:55:27 2010/01/01 
Ethernet2/0/2 SLAVE STANDBY 2 01:55:05 2010/01/01 


(5) 查看 MAC、ARP/ND 表 项 学 习 是 否 正 确 


当 发 生 链 路 切换 ,如 果 发 生 业 务 中 断 , 则 需要 检查 与 成 员 端口 相连 设备 的 MAC, ARP/ 


ND 表 项 是 否 正确 。 
(6) 检查 数据 报 文 流 量 统计 


如 果 MAC.ARP/ND 表 项 学 习 正 确 , 但 业务 数据 转发 不 通 , 则 对 业务 报 文 做 流量 统计 , 查 


看 报 文 在 哪里 被 丢弃 。 
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(7) 检查 保护 VLAN 配置 
如 果 MAC. ARP/ND 表 项 学 习 不 正确 , 则 检查 是 否 正确 配置 了 MSTI 与 保护 VLAN 的 
映射 关系 ,并 且 在 Smart Link 组 中 调用 。 
MS: display stp region-con figuration 
display smart-link group group-id 
例如 : 检查 MSTI 与 保护 VLAN 的 映射 关系 ,并 确定 MSTI 被 正确 的 Smart Link 组 
调用 。 


[H3C] display stp region-configuration 
Oper configuration 


Format selector :0 
Region name :000fe2f408d2 
Revision level :0 


Configuration digest :0x2cc089ef39bd9898636abaca225b26a9 


Instance Vlans Mapped 

0 11 to 4094 

1 1 to10 
[H3C]display smart-link group 1 
Smart link group 1 information: 
Device ID: c4ca-d9c0-5138 
Preemption mode: ROLE 
Preemption delay: 1(s) 
Control VLAN: 10 


Protected VLAN: Reference Instance 1 

Member Role State Flush-count Last-flush-time 
Ethernet2/0/1 MASTER ACTIVE 3 01:55:27 2010/01/01 
Ethernet2/0/2 SLAVE STANDBY 2 01:55:05 2010/01/01 


(8) 检查 发 送 /接收 控制 VLAN 

在 Smart Link 设备 上 配置 控制 VLAN ,控制 VLAN 同时 也 是 保护 VLAN ,不同 的 Smart 
Link 组 需要 配置 不 同 的 控制 VLAN。 在 相关 设备 上 ,从 Smart Link 设备 到 目的 设备 之 间 ， 
主 , 从 链 路 上 的 端口 需要 使 能 接收 Flush 报 文 功能 ,并 且 接 收 处 理 Flush 报 文 的 控制 VLAN 
和 在 Smart Link 设备 上 配置 的 发 送 控制 VLAN 要 相同 ; 同时 .与 Smart Link 组 成 员 端 口 相 
连 的 端口 上 关闭 STP。 

命令 : display smart-link group group-id 

例如 : 在 Smart Link 设备 上 通过 命令 确认 控制 VLAN 为 VLAN 10, 


LH3C]display smart-link group 1 

Smart link group 1 information: 

Device ID: c4ca-d9c0-5138 

Preemption mode: ROLE 

Preemption delay: 1(s) 

Control VLAN: 10 

Protected VLAN: Reference Instance 1 

Member Role State Flush-count Last-flush-time 
Ethernet2/0/1 MASTER ACTIVE 3 01:55:27 2010/01/01 
Ethernet2/0/2 SLAVE STANDBY 2 01:55:05 2010/01/01 
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命令 : display current-con figuration inter face inter face-type inter face-number 

例如 : 通过 命令 查看 与 主 /从 端口 相连 的 端口 已 关闭 STP, 并 使 能 了 接收 Flush 报 文 功 
能 ,并 且 接收 处 理 Flush 报 文 的 控制 VLAN 和 与 Smart Link 设备 上 配置 的 发 送 控制 VLAN 
相同 。 


interface Ethernet1/0/2 
port link-mode bridge 
port link-type trunk 
port trunk permit vlan 1 to 10 
stp disable 
smart-link flush enable control-vlan 10 


(9) 检查 Flush 报 文 的 收发 信息 

当 发 生 链 路 切换 时 ,需要 检查 Smart Link 设备 是 否 发 出 了 Flush 报 文 以 刷新 MAC, 
ARP/ND 表 项 ,同时 检查 相关 设备 上 是 否 收 到 了 Flush 报 文 。 

命令 : display smart-link group group-id 

例如 : 在 Smart Link 设备 上 查看 Flush 报 文 的 发 送 情况 。 


[H3C]display smart-link group 1 

Smart link group 1 information: 

Device ID: c4ca-d9c0-5138 

Preemption mode: ROLE 

Preemption delay: 1(s) 

Control VLAN: 10 

Protected VLAN: Reference Instance I] 


Member Role State Flush-count Last-flush-time 
Ethernet2/0/1 MASTER ACTIVE 3 01:55:27 2010/01/01 
Ethernet2/0/2 SLAVE STANDBY 2 01:55:05 2010/01/01 


命令 : display smart-link flush 

例如 : 在 相关 设备 上 查看 Flush 报 文 的 接收 情况 ,包括 接收 到 Flush 报 文 的 数量 ,最 后 一 
次 接收 Flush 报 文 的 端口 .时 间 , 以 及 Flush 报 文 的 Device ID( 与 Smart Link 组 的 Device ID 
相同 )。 


[H3C] display smart-link flush 


Received flush packets : 22 

Receiving interface of the last flush packet :Ethernet1/0/2 
Receiving time of the last flush packet :01:54:57 2010/01/01 
Device ID of the last flush packet :c4ca-d9c0-5138 


Control VLAN of the last flush packet RO 
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1. 开始 

定位 故障 的 思路 是 : 如 果 是 PE 设备 ,首先 检查 设备 ACL 资源 是 否 足够 ,再 检查 设备 上 行 
口 是 否 允许 正确 的 SVLAN 携带 TAG 通过 ,最 后 根据 部 署 的 VLAN MAPPING 进行 相关 部 
署 的 配置 检查 。 

2. VLAN MAPPING 排 错 相 关 操 作 说 明 

CE 设备 : 检查 CE 设备 端口 允许 CVLAN 标签 通过 

MẸ: display inter face inter face-type inter face-number 


例如 : 通过 命令 查看 ,GE2/0/10 接口 是 否 允 许 CVLAN Tag 通过 。 


<H3C>display interface GigabitEthernet 2/0/10 


PVID: 1 
Mdi type: auto 
Port link-type: trunk 
VLAN passing : 1(default vlan) 
VLAN permitted: 1(default vlan), 100, 200 
Trunk port encapsulation: IEEE 802. 1q 


PE 设备 

(1) 检查 ACL 存在 剩余 资源 

设备 资源 不 足 将 导致 VLAN MAPPING 无 法 部 署 ,请 检查 ACL 资源 是 否 剩 余 。 
MA: display acl resource 


例如 : 通过 命令 查看 设备 ACL VFP 资源 剩余 1535 条 资源 。 


< H3C>4isplay acl resource 

Interface: 
GE1/0/1 to GE1/0/24, XGE1/1/1 to XGE1/1/2 

Type Total Reserved Configured Remaining Usage 
VFP ACL 2048 512 1 1535 25% 
IFP ACL 8192 2048 0 6144 25% 
IFP Meter 4096 1024 0 3072 25% 
IFP Counter 4096 1024 0 3072 25% 
EFP ACL 1024 0 0 1024 0% 
EFP Meter 512 0 0 512 0% 
EFP Counter 512 0 0 512 0% 


(2) 检查 上 行 口 允许 SVLAN 携带 Tag 通过 

MG: display inter face inter face-type inter face-number 

例如 : 通过 命令 查看 ,GE2/0/10 接口 允许 SVLAN Tag 10 通过 。 注 意 , 若 部 署 2:2 
VLAN MAPPING 方式 需要 NEW_SVLAN 携带 Tag 通过 。 
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<H3C>display interface GigabitEthernet 2/0/10 


PVID: 1 

Mdi type: auto 

Port link-type: trunk 
VLAN passing : l(default vlan) 
VLAN permitted: 1(default vlan), 10, 200 
Trunk port encapsulation: IEEE 802.1q 


(3) 选择 VLAN MAPPING 方式 部 署 

根据 现场 部 署 的 VLAN MAPPING 方式 ,选择 下 列 相关 流量 进行 排查 。 

(4) 采用 1:1VLAN MAPPING 方式 

若 采 用 1:1VLAN MAPPING 部 署 方式 ,请 按照 下 列 流量 进行 排查 。 

O 检查 上 行 策略 和 下 行 策略 配置 正确 。 检 查 上 行 策 略 中 customer-vlan-id 为 CVLAN， 
Service VLAN ID X SVLAN。 检查 下 行 策 略 中 service-vlan-id 为 SVLAN,Customer VLAN 
ID X CVLAN. 

命令 : display qos policy inter face inter face-type inter face-number 

例如 : 通过 命令 查看 ,确认 PE 设备 与 CE 互联 GE5/0/2 端口 部 署 的 上 行 策略 Customer- 
VLAN-ID 为 100, Service VLAN ID 3 10; 部 署 的 下 行 策略 Service-VLAN-ID 为 10, 
Customer-VLAN-ID 为 100。 


<H3C>display qos policy interface GigabitEthernet 5/0/2 
Interface: GigabitEthernet5/0/2 
Direction: Inbound 


Policy: uplink_celue 
Classifier: uplink_celue 
Operator: AND 
Rule(s) : If-match customer-vlan-id 100 
Behavior: uplink_celue 
Marking: 
Remark Service VLAN ID 10 


Direction: Outbound 


Policy: downlink_celue 
Classifier: downlink_celue 
Operator: AND 
Rule(s) : If-match service-vlan-id 10 
Behavior: downlink_celue 
Marking: 
Remark Customer VLAN ID 100 


@ 检查 下 行 端口 应 用 策略 的 方向 正确 。 检 查 下 行 端口 Remark-Service-VLAN-ID 部 署 
在 接口 Inbound 方向 ; Remark Customer VLAN ID RAO Outbound 方向 。 
命令 : display qos policy inter face inter face-type interface-number 


例如 : 通过 命令 查看 ,确认 PE 设备 与 CE 互联 GE5/0/2 端口 部 署 的 Remark Service 
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VLAN ID 策略 在 接口 Inbound 方向 ; 部 署 的 Remark Customer VLAN ID 策略 在 接口 
Outbound 方向 。 


<H3C>display qos policy interface GigabitEthernet 5/0/2 
Interface: GigabitEthernet5/0/2 
Direction: Inbound 


Policy: uplink_celue 
Classifier: uplink_celue 
Operator: AND 
Rule(s) : If-match customer-vlan-id 100 
Behavior: uplink_celue 
Marking: 
Remark Service VLAN ID 10 


Direction: Outbound 


Policy: downlink_celue 
Classifier: downlink_celue 
Operator: AND 
Rule(s) : If-match service-vlan-id 10 
Behavior: downlink_celue 
Marking: 
Remark Customer VLAN ID 100 


© 检查 下 行 端口 使 能 QinQ 。 
fü >; display current-con figuration inter face inter face-type inter face-number 


例如 : 通过 命令 查看 ,确认 在 设备 GE5/0/2 端口 使 能 QinQ 。 


<H3C>display current-configuration interface GigabitEthernet 5/0/2 
# 
interface GigabitEthernet5/0/2 
port link-mode bridge 
port link-type trunk 
port trunk permit vlan 1 10 100 
qinq enable 
qos apply policy uplink_celue inbound 
qos apply policy downlink_celue outbound 
# 


@ 检查 下 行 端口 允许 CVLAN 和 SVLAN 携带 Tag 通过 。 

命令 : display inter face 

例如 : 通过 命令 查看 ,确认 设备 GE5/0/2 端口 允许 CVLAN 100 和 SVLAN 10 报 文 带 
Tag 通过 。 


<H3C>display interface GigabitEthernet 5/0/2 


Link delay is 0(sec) 
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Port link-type: trunk 
VLAN passing : l(default vlan), 10 
VLAN permitted: 1(default vlan), 10, 100 
Trunk port encapsulation: IEEE 802. 1q 
Port priority: 0 


(5) 采用 1:2 VLAN MAPPING 方式 

若 采用 1:2 VLAN MAPPING 部 署 方式 ,请 按照 下 列 流量 进行 排查 。 

O 检查 上 行 策略 配置 正确 。 检 查 上 行 策略 中 Customer-VLAN-ID 为 CVLAN, Top- 
Most VLAN-ID 为 SVLAN。 

MẸ: display qos policy inter face inter face-type interface-number 

例如 : 通过 命令 查看 ,确认 PE 设备 与 CE 互联 GE5/0/3 端口 部 署 的 上 行 策略 Customer- 
VLAN-ID 为 100,Top-Most VLAN-ID 为 10。 


<H3C>display qos policy interface GigabitEthernet 5/0/3 
Interface: GigabitEthernet5/0/3 
Direction: Inbound 


Policy: uplink_1:2 
Classifier: uplink_1:2 
Operator: AND 
Rule(s) : If-match customer-vlan-id 100 
Behavior: uplink_1:2 
Nesting: 
Nest top-most vlan-id 10 


@ 检查 下 行 端口 应 用 策略 的 方向 正确 。 检 查 下 行 端口 Top-Most VLAN-ID 策略 部 署 在 
接口 Inbound 方向 。 

MA: display qos policy inter face interface-type inter face-number 

例如 : 通过 命令 查看 ,确认 PE 设备 与 CE 互联 GE5/0/3 端口 部 署 的 Top-Most VLAN-ID 
策略 在 接口 Inbound 方向 。 


<H3C>display qos policy interface GigabitEthernet 5/0/3 


Interface: GigabitEthernet5/0/3 
Direction: Inbound 


Policy: uplink_1:2 
Classifier: uplink 1:2 
Operator: AND 
Rule(s) : If-match customer-vlan-id 100 
Behavior: uplink_1:2 
Nesting: 
Nest top-most vlan-id 10 
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© 检查 下 行 端口 使 能 QinQ 。 


MA: display current-con figuration inter face interface-type inter face-number 


例如 : 通过 命令 查看 ,确认 在 设备 GE5/0/3 端口 使 能 Qing. 


<H3C>display current-configuration interface GigabitEthernet 5/0/3 
# 
interface GigabitEthernet5/0/3 
port link-mode bridge 
port link-type hybrid 
port hybrid vlan 1 10 untagged 
qinq enable 
qos apply policy uplink_1:2 inbound 
# 


@ 检查 下 行 端 口 允许 SVLAN 不 携带 Tag 通过 。 
命令 : display interface interface-type inter face-number 


例如 : 通过 命令 查看 ,确认 设备 GE5/0/3 端口 允许 SVLAN 10 报 文 不 携带 Tag 通过 。 


<H3C>display interface GigabitEthernet 5/0/3 


PYD: 1 
Mdi type: auto 
Link delay is 0(sec) 
Port link-type: hybrid 
Tagged VLAN ID : none 
Untagged VLAN ID : 1, 10 
Port priority: 0 
Last clearing of counters: Never 


(6) 采用 2:2 VLAN MAPPING 方式 

若 采用 2:2 VLAN MAPPING 部 署 方式 ,请 按照 下 列 流量 进行 排查 。 

D 检查 上 行 端口 的 上 行 策略 配置 正确 。 检 查 上 行 端口 部 署 的 上 行 策略 中 Customer- 
VLAN-ID 为 原 报 文 的 CVLAN, Service-VLAN-ID 为 修改 后 报 文 的 NEW_SVLAN， 
Customer-VLAN-ID 为 修改 后 报 文 的 NEW_CVLAN。 且 策略 中 Classifier 的 Operator 为 
AND。 注 意 ,车 仅 修改 原 报 文 的 SVLAN, 及 不 修改 原 报 文 的 CVLAN, 可 不 配置 该 策略 。 

MS: display qos policy interface interface-type interface-number 

例如 : 通过 命令 查看 ,确认 PE 设备 与 PE 互联 GE5/0/4 端口 部 署 的 上 行 策略 Customer- 
VLAN-ID 为 100, Service-VLAN-ID 为 20, Customer VLAN ID 为 200 并 且 Classifier 的 
Operator 为 AND。 


<H3C>display qos policy interface GigabitEthernet 5/0/4 
Interface: GigabitEthernet5/0/4 
Direction: Outbound 


Policy: upport_uplink 2:2 
Classifier: upport_uplink_2:2 
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Operator: AND 
Rule(s) : If-match customer-vlan-id 100 
If-match service-vlan-id 20 
Behavior: upport_uplink_2:2 
Marking: 
Remark Customer VLAN ID 200 


@ 检查 下 行 端口 的 上 行 策略 和 下 行 策略 配置 正确 。 检 查 下 行 端口 部 署 的 上 行 策略 中 
Customer-VLAN-ID 为 原 报 文 的 CVLAN, Service-VLAN-ID 为 原 报 文 的 SVLAN, Service 
VLAN ID 为 修改 后 报 文 的 NEW_SVLAN。 且 策略 中 Classifier 的 Operator 为 AND。 注 意 ， 
若 仅 修改 原 报 文 CVLAN ,及 不 修改 原 报 文 SVLAN ,可 不 配置 该 策略 。 

检查 下 行 端口 部 署 的 下 行 策略 中 Customer-VLAN-ID 为 修改 后 报 文 的 NEW_CVLAN， 
Service-VLAN-ID 为 修改 后 报 文 的 NEW_SVLAN,Customer-VLAN-ID 为 原 报 文 的 CVLAN 
(车 下 行 端口 的 上 行 策略 不 修改 原 报 文 CVLAN, 可 不 配置 该 策略 ), Service, VLAN, ID 为 原 
报 文 的 SVLAN( 若 下 行 端口 的 上 行 策略 不 修改 原 报 文 SVLAN, 可 不 配置 该 策略 )。 且 策略 中 
Classifier 的 Operator 为 AND。 

MS: display qos policy interface inter face-type interface-number 

例如 : 通过 命令 查看 ,确认 PE 设备 与 CE 互联 GE5/0/5 端口 部 署 的 上 行 策略 downport_ 
uplink_2:2 中 Customer-VLAN-ID X 100 ,Service-VLAN-ID 为 10,Service-VLAN-ID 为 20。 
并 且 Classifier 的 Operator 为 AND。 

通过 命令 查看 ,确认 PE 设备 与 CE 互联 GE5/0/5 端口 部 署 的 下 行 策略 downport_ 
downlink_2:2 中 Customer-VLAN-ID 为 200, Service-VLAN-ID 为 20, Customer-VLAN-ID 
为 100,Service-VLAN-ID 为 10。 并 且 Classifier 的 Operator 为 AND, 


<H3C>display qos policy interface GigabitEthernet 5/0/5 
Interface: GigabitEthernet5/0/5 
Direction: Inbound 


Policy: downport_uplink_2:2 
Classifier: downport_uplink_2:2 
Operator: AND 
Rule(s) : If-match customer-vlan-id 100 
If-match service-vlan-id 10 
Behavior: downport_uplink_2:2 
Marking: 
Remark Service VLAN ID 20 


Direction: Outbound 


Policy: downport_downlink 2:2 
Classifier: downport_downlink_2:2 
Operator: AND 
Rule(s) : If-match customer-vlan-id 200 
If-match service-vlan-id 20 
Behavior: downport_downlink_2:2 
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Marking: 

Remark Customer VLAN ID 100 
Marking: 

Remark Service VLAN ID 10 


O 检查 上 行 端口 应 用 策略 的 方向 正确 。 检 查 上 行 端口 Customer-VLAN-ID 策略 部 署 在 
接口 Outbound 方向 。 

MẸ: display qos policy inter face inter face-type interface-number 

例如 : 通过 命令 查看 ,确认 PE 设备 与 PE 互联 GE5/0/4 端口 部 署 的 Customer, VLAN, 
ID 策略 在 接口 Outbound 方向 。 


<H3C>display qos policy interface GigabitEthernet 5/0/4 
Interface: GigabitEthernet5/0/4 
Direction: Outbound 


Policy: upport_uplink_2:2 
Classifier: upport_uplink_2:2 
Operator: AND 
Rule(s) : If-match customer-vlan-id 100 
If-match service-vlan-id 20 
Behavior: upport_uplink_2:2 
Marking: 
Remark Customer VLAN ID 200 


@ 检查 下 行 端 口 应 用 策略 的 方向 正确 。 检 查 下 行 端口 上 行 策略 和 下 行 策略 部 署 在 接口 
正确 的 方向 。 

命令 : display qos policy inter face inter face-type interface-number 

例如 : 通过 命令 查看 ,确认 PE 设备 与 CE 互联 GE5/0/5 端口 部 署 的 上 行 策略 downport_ 
uplink_2:2 在 接口 Inbound 方向 .部署 的 下 行 策略 downport_downlink_2:2 在 接口 Outbound 
方向 。 


<H3C>display qos policy interface GigabitEthernet 5/0/5 


Interface: GigabitEthernet5/0/5 
Direction: Inbound 


Policy: downport_uplink_2:2 
Classifier: downport_uplink_2:2 
Operator: AND 
Rule(s) : If-match customer-vlan-id 100 
If-match service-vlan-id 10 
Behavior: downport_uplink_2:2 
Marking: 
Remark Service VLAN ID 20 


Direction: Outbound 


Policy: downport_ downlink 2:2 
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Classifier: downport_downlink 2:2 
Operator: AND 
Rule(s) : If-match customer-vlan-id 200 
If-match service-vlan-id 20 
Behavior: downport_downlink_2:2 
Marking: 
Remark Customer VLAN ID 100 
Marking: 
Remark Service VLAN ID 10 


O 检查 下 行 端口 允许 NEW_SVLAN 携带 Tag 通过 。 
命令 : display inter face inter face-type inter face-number 
例如 : 通过 命令 查看 ,确认 设备 GE5/0/5 端口 允许 NEW_SVLAN 20 报 文 携带 Tag 


<H3C>display interface GigabitEthernet 5/0/5 


Link delay is 0(sec) 
Port link-type: trunk 
VLAN passing : l(default vlan) 
VLAN permitted: 1(default vlan), 20 
Trunk port encapsulation: IEEE 802. 1q 
Port priority: 0 
Last clearing of counters: Never 


(7) 采用 N:1 VLAN MAPPING 方式 

若 采用 N:1 VLAN MAPPING 部 署 方式 ,请 按照 下 列 流量 进行 排查 。 

O 检查 上 行 策略 配置 正确 。 检 查 上 行 策略 中 Mode 为 dotlq-tag-manipulation， 
Customer-VLAN-ID 包含 CVLAN,Service-VLAN-ID 为 SVLAN。 

MS: display qos policy interface inter face-type inter face-number 

例如 : 通过 命令 查看 ,确认 PE 设备 与 CE 互联 GE5/0/7 端口 部 署 的 上 行 策略 Customer- 
VLAN-ID 为 100 到 110,Service-VLAN-ID 为 10。 且 Mode 为 dotlq-tag-manipulation 。 


<H3C>display qos policy interface GigabitEthernet 5/0/7 
Interface: GigabitEthernet5/0/7 
Direction: Inbound 


Policy: uplink_N:1 

Classifier : uplink_N:1 
Mode : dotlq-tag-manipulation 
Operator AND 
Rule(s): If-match customer-vlan-id 100 to 110 
Behavior uplink_N:1 

Marking: 
Remark Service VLAN ID 10 
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© 检查 使 能 DHCP Snooping 功能 和 ARP Detection 功能 。 
命令 : display dhcp-snooping 
display arp detection 
例如 : 通过 命令 查看 ,确认 PE 设备 使 能 dhep snooping 功能 ,同时 在 SVLAN 中 使 能 arp 
detection 功能 。 


<H3C>display dhcp-snooping 
DHCP Snooping is enabled. 


<H3C>display arp detection 
ARP detection is enabled in the following VLANs: 
10 


© 检查 下 行 端 口 应 用 策略 的 方向 正确 。 检 查 下 行 端口 Inbound 方向 部 署 上 行 策略 。 

命令 : display qos policy inter face inter face-type inter face-number 

例如 : 通过 命令 查看 ,确认 PE 设备 与 CE 互联 GE5/0/7 端口 Inbound 方向 部 署 的 上 行 
策略 。 


<H3C>display qos policy interface GigabitEthernet 5/0/7 


Interface: GigabitEthernet5/0/7 
Direction: Inbound 


Policy: uplink_N:1 
Classifier : uplink_N:1 
Mode :dotlq-tag-manipulation 
Operator : AND 
Rule(s) : If-matchcustomer-vlan-id 100 to 110 
Behavior : uplink_N:1 
Marking: 
RemarkService VLAN ID 10 


@ 检查 上 行 和 下 行 端口 QinQ 配置 正确 。 检 查 上 行 端口 配置 qinq uplink 模式 ,下 行 端口 
配置 qing downlink 模式 。 

MS: display current-con figuration inter face interface-type inter face-number 

例如 : 通过 命令 查看 ,确认 在 PE 设备 上 行 口 GE5/0/6 端口 使 能 QinQ Uplink 模式 ; PE 
设备 下 行 口 G5/0/7 端口 使 能 QinQ Downlink 模式 。 


<H3C>display current-configuration interface GigabitEthernet 5/0/6 
# 
interface GigabitEthernet5/0/6 
port link-mode bridge 
port link-type trunk 
port trunk permit vlan 1 10 
qinq enable uplink 
dhcp-snooping trust 
arp detection trust 
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# 
<H3C>display current-configuration interface GigabitEthernet 5/0/7 
# 
interface GigabitEthernet5/0/7 
port link-mode bridge 
port link-type trunk 
port trunk permit vlan 1 10 100 to 110 
qinq enable downlink 
qos apply policy uplink_N:1 inbound 
# 


© 检查 上 行 端口 使 能 DHCP-Snooping Trust 和 ARP Detection Trust 功能 。PE 设备 上 
行 端口 需要 设 定 为 DHCP-Snooping Trust 接口 和 ARP Detection Trust 接口 。 
命令 : display dhcp-snooping trust 
display arp detection statistics 
例如 : 通过 命令 查看 ,确认 在 PE 设备 上 行 口 GE5/0/6 端口 使 能 DHCP-Snooping Trust 
和 ARP Detection Trust 功能 。 


<H3C>display dhcp-snooping trust 
DHCP Snooping is enabled. 
DHCP Snooping trust becomes active. 
Interface Trusted 


GigabitEthernet5/0/6 


<H3C>display arp detection statistics 
State: U-Untrusted T-Trusted 
ARP packets dropped by ARP inspect checking: 


Interface(State) IP SrcMAC Dst-MAC Inspect 
GE5/0/5(U) 0 0 0 0 
GES/0/6 (T) 0 0 0 0 
GE5/0/7(U) 0 0 0 0 


© 检查 下 行 端口 允许 CVLAN 和 SVLAN 携带 Tag 通过 。 

MS: display inter face inter face-type inter face-number 

例如 : 通过 命令 查看 ,确认 设备 GE5/0/7 端口 允许 CVLAN 100 到 110 和 SVLAN 10 携 
带 Tag 通过 。 


<H3C>display interface GigabitEthernet 5/0/7 


Link delay is 0(sec) 
Port link-type: trunk 
VLAN passing : l(default vlan), 10 
VLAN permitted: 1(default vlan), 10, 100-110 
Trunk port encapsulation: IEEE 802. 1q 
Port priority: 0... 
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5 交换 机 产品 ss s aa 
1. 开始 


定位 故障 思路 是 : 对 于 常见 的 设备 硬件 故障 问题 的 判断 ,可 以 分 为 几 个 部 分 去 检查 ,包括 
设备 环境 的 硬件 状态 检查 、 端 口 故 障 状态 的 硬件 检查 、PoE 端口 故障 local logbuffer 的 异常 记 
录 来 判断 设备 是 否 存 在 硬件 故障 。 

2. 流程 图 相关 操作 说 明 

(1) 设备 环境 硬件 状态 检查 

QO 检查 设备 环境 状况 。 


MS: display environment 


—<Sysname> display environment 
System temperature information (degree centigrade) : 


Sensor Temperature LowerLimit WarningLimit AlarmLimit ShutdownLimit 
hotspot 1 44 5 70 80 NA 
hotspot 2 37 = 10 125 135 NA 


Temperature 指 的 是 当前 温度 , Lower Limit 指 的 是 温度 传感器 的 低温 告警 门限 ， 
Warning Limit 指 的 是 温度 传感器 的 一 般 级 (Warning) 高 温 告 警 门限 。 各 传感器 温度 应 处 于 
低温 告警 门限 与 一 般 级 高 温 告 警 门 限 之 间 , 如 出 现 异常 温度 告警 ,比如 一 1'C ,255 等 ,一 般 是 
软件 版 本 问题 或 温度 传感器 硬件 故障 ,需要 更 换 设备 。 

© 检查 设备 风扇 状况 。 

命令 : display fan 


<Sysname> display fan 
Slot 1 


FAN Ł 


State : Normal 


State 表示 的 是 风扇 的 状态 ,风扇 应 该 显示 Normal。 如 出 现 Fault 或 Absent, 如 果 风 扇 可 


以 插 拔 ,建议 重新 插 拔 后 尝试 ,如 问题 仍然 存在 ,建议 更 换 风 扇 。 如 果 风 扇 不 能 插 拔 , 则 建议 直 
接 更 换 整 机 。 


@ 检查 设备 电源 状况 。 
命令 : display power 


=Sysname> display power 


Slot 1 
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Power 
State : Normal 
Type ; AC 


State 表示 的 是 电源 的 状态 ,电源 状态 应 该 显示 Normal。 如 出 现 Fault 或 Absent, 如 果 电 
源 可 以 插 拔 ,建议 重新 插 拔 后 尝试 ,如 问题 仍然 存在 ,建议 更 换 电 源 。 如 果 电源 不 能 插 拔 , 则 建 
议 直接 更 换 整 机 。 
@ 检查 设备 系统 指示 灯 状 况 。 观 察 设备 的 系统 状态 指示 灯 的 运行 状况 如 表 5-7 所 示 。 
表 5-7 系统 状态 指示 灯 


面板 标识 指示 灯 状 态 指示 灯 含 义 
绿色 常 亮 交换 机 已 经 正常 启动 
绿色 闪烁 (1Hz) 系统 正在 上 电 自 检 
SYS/PWR 红色 常 亮 系统 上 电 自 检 和 失败 ,故障 
黄色 闪烁 (1Hz) 部 分 端口 上 电 自 检 失败、 功能 失效 
x 交换 机 断 电 


系统 指示 灯 状 态 如 果 是 绿色 常 亮 和 绿色 闪烁 即 为 正常 启动 或 者 系统 正在 上 电 , 视 为 正常 ; 
如 果 出 现 红色 常 亮 ,绿色 闪烁 即 为 硬件 故障 ,可 以 进行 相应 的 更 换 。 
O 设备 无 法 正常 启动 。 用 Console 线 , 连 接 设备 串口 。 在 设备 开始 启动 的 时 候 , 按 Ctrl 十 
B HEHEA bootrom 菜单 ,检查 启动 文件 是 否 存在 ,启动 文件 大 小 是 否 完全 正确 。 如 果 版 本 文件 
正确 ,在 设备 开始 启动 的 时 候 , 按 Ctrl 十 T 键 进行 内 存 检测 。 
命令 : Ctrl+B 
Ctrl +T 


. Download application file to flash 
. Select application file to boot 

. Display all files in flash 

. Delete file from flash 

. Modifybootrom password 

. Enterbootrom upgrade menu 

. Skip current configuration file 

. Setbootrom password recovery 

. Set switch startup mode 

. Reboot 


口中 oo 和 we 


Enter yourchoice(0-9) : 


选择 3 查看 启动 文件 ,并 检查 文件 大 小 是 否 正确 ,如 果 文 件 不 存在 或 者 是 文件 大 小 不 一 
致 ,建议 重新 通过 FTP/TFTP 导入 app 文件 重新 启动 。 如 果 文 件 大 小 正确 ,在 设备 开始 启动 
的 时 候 , 按 Ctrl 十 T 键 进行 内 存 检测 。 如 果 出 现 内 存 检测 失败 , 则 直接 更 换 设备 。 

(2) 检查 设备 端口 故障 状态 

检查 端口 状态 是 否 故障 。 
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(3) 设备 是 否 光 口 

判断 端口 是 否 是 光 口 ,如果 不 是 光 口 按照 步骤 (2)@ 的 流程 进行 分 析 判 断 ; 如 果 为 光 口 ， 
按照 步骤 (2)@ 的 流程 进行 分 析 和 判断 。 

O 端口 是 否 协商 出 了 半 双 工 。 

命令 : displayinter face brief 

例如 : 以 GigabitEthernet 1/0/2 端口 为 例 。 


=sysname> display interface brief 


The brief information of interface(s) under bridge mode: 
Link: ADM - administratively down; Stby - standby 
Speed or Duplex: (a)/A - auto; H - half; F - full 
Type: A - access; T - trunk; H - hybrid 


Interface Link Speed Duplex Type PVID Description 
GE1/0/1 Down auto A en) 
GE1/0/2 Down auto H ño | 
GE1/0/3 Down auto A AT 
GE1/0/4 Down auto A ATT 
GE1/0/5 Down auto A AI 
GE1/0/6 Down auto A A 1 
GE1/0/7 Down auto A A 
GE1/0/8 Down auto A A 1 
GE1/0/9 Down auto A A 1 
GE1/0/10 Down auto A A 1 


如 果 某 个 端口 状态 为 half ,如 interface GigabitEthernet 1/0/2 duplex 为 half , 则 需要 确认 
是 否 两 端 配置 看 下 是 否 是 因为 配置 不 一 致 导 致 的 双 工 状态 为 half。 

© 是 否 在 没有 必要 启动 流 控 端口 配置 流 控 。 

MS: display this 

例如 : 以 GigabitEthernet 1/0/2 端口 为 例 。 


[sysname-GigabitEthernetl/0/2] display this 
# 
interface GigabitEthernet1/0/2 
port link-mode bridge 
duplex half 
flow-control 
loopback-detection enable 
loopback-detection action shutdown 


# 


return 


如 果 某 个 端口 不 需要 开启 端口 流 控 , 查 看 该 端口 下 是 否 配置 了 flow-control, 在 不 需要 开 
启 流 控 的 端口 可 以 通过 命令 undo flow-control 来 关闭 流 控 配 置 来 观察 一 下 。 

@ 端口 出 /入 方向 是 否 有 大 量 的 错误 报 文 。 

MS: display inter face interface-type interface-number 

例如 : 以 GigabitEthernet 1/0/1 端口 为 例 。 


Sysname> display interface GigabitEthernet 1/0/1 
Last 300 seconds output: 0 packets/sec 0 bytes/sec -% 
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Input (total): 0 packets，0 bytes 

0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses 
Input (normal): 0 packets, - bytes 

0 unicasts，0 broadcasts, 0 multicasts, 0 pauses 
Input: 0 input errors, 0 runts, 0 giants, 0 throttles 
0 CRC, 0 frame, - overruns, 0 aborts 

-ignored, - parity errors 

Output (total): 0 packets, 0 bytes 

0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses 
Output (normal): 0 packets, - bytes 

0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses 
Output: 0 output errors, -underruns, - buffer failures 
0 aborts, 0 deferred, 0 collisions, 0 late collisions 
0 lostcarrier, - no carrier 


检查 设备 的 出 入 方 向 ,是 否 有 大 量 的 错误 报 文 ,如 果 确 实 存在 大 量 的 错误 包 , 检 查 一 下 本 
端 和 对 端的 配置 是 相同 ,有 没有 存在 一 端 配置 为 强制 ,一端 配置 为 自动 协商 。 检 查 中 间 线 路 ， 
如 果 有 条 件 最 好 能 够 替换 网 线 测试 观察 ,看 故障 现象 是 否 消失 ,错误 报 文 是 否 还 有 增长 。 

@ 设备 是 否 有 比较 频繁 的 端口 Up/Down, 

MS: display logbuf fer 

例如 : 以 GigabitEthernet 1/0/1 端口 为 例 。 


sysname> display logbuffer 


% Apr 27 04:18:04:331 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/16 link status 
is Down. 

% Apr 27 04:18:04:605 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/10 link status 
is Down. 

% Apr 27 04:18:04: 717 2000sysname IFNET/3/LINK _ Up/Down: Vlan-interfacel link status is 
Down. 

% Apr 27 04: 18: 04: 859 2000sysname IFNET/5/LINEPROTO _ Up/Down: Line protocol on the 
interface Vlan-interface1 is Down. 

% Apr 27 04:18:08:706 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/10 link status 
is Up. 

% Apr 27 04:18:08:818 2000sysname IFNET/3/LINK_Up/Down: Vlan-interfacel link status is Up. 
% Apr 27 04: 18: 08: 960 2000sysname IFNET/5/LINEPROTO _ Up/Down: Line protocol on the 
interface Vlan-interface1 is Up. 

% Apr 27 04:18:09:082 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/16 link status 
is Up. 

% Apr 27 04:18:10:127 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/10 link statusi 
is Down. 

% Apr 27 04:18:10:403 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/16 link status 
is Down. 


查看 设备 的 logbuffer, 检 查 设备 是 否 存在 频繁 的 端口 的 Up/Down 信息 。 检 查 一 下 本 端 
和 对 端的 配置 是 相同 ,有 没有 存在 一 端 配 置 为 强制 ,一 端 配 置 为 自动 协商 。 修 改 下 配置 能 否 恢 
复 , 同 时 检查 中 间 线 路 ,如 果 有 条 件 最 好 能 够 替换 网 线 测试 观察 ,看 故障 现象 是 否 消失 。 

O 光 口 两 端 是 否 配置 一 致 


命令 : display current-con figuration inter face 
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=sysname> display current-configuration interface 
# 
interface GigabitEthernet1/0/1 
port link-mode bridge 
port link-type hybrid 
port hybrid vlan 1 untagged 
voice vlan 30 enable 
lldp compliance admin-status cdp txrx 
lldp voice-vlan 30 
# 
interface GigabitEthernet1/0/2 
port link-mode bridge 
duplex half 
flow-control 
loopback-detection enable 
loopback-detection action shutdown 


# 


检查 当前 端口 的 配置 和 对 端的 端口 配置 ,是 否 存在 配置 不 一 致 的 情况 ,H3C 设备 与 其 他 
厂商 设备 互 连 , 建 议 光 口 速率 和 双 工 设置 要 完全 一 致 。 

© 端口 出 /入 方向 是 否 有 大 量 的 错误 报 文 。 

命令 : display interface 

例如 : 以 GigabitEthernet 1/0/1 端口 为 例 。 


<Sysname> display interface GigabitEthernet 1/0/1 
Last 300 seconds output: 0 packets/sec 0 bytes/sec -% 
Input (total): 0 packets, 0 bytes 

0 unicasts，0 broadcasts, 0 multicasts，0 pauses 
Input (normal): 0 packets, - bytes 

0 unicasts，0 broadcasts, 0 multicasts, 0 pauses 
Input: 0 input errors, 0 runts, 0 giants, 0 throttles 

0 CRC, 0 frame, - overruns, 0 aborts 

-ignored, - parity errors 

Output (total): 0 packets, 0 bytes 

0 unicasts，0 broadcasts, 0 multicasts, 0 pauses 
Output (normal): 0 packets, - bytes 

0 unicasts，0 broadcasts, 0 multicasts, 0 pauses 
Output: 0 output errors, -underruns, - buffer failures 
0 aborts, 0 deferred, 0 collisions, 0 late collisions 

0 lostcarrier，- no carrier 


检查 设备 的 出 入 方向 ,是 否 有 大 量 的 错误 报 文 .并 且 持 续 增 长 ,如 果 确 实 存在 大 量 的 错误 
包 , 检 查 一 下 本 端 和 对 端的 配置 是 相同 ,有 没有 存在 一 端 配 置 为 强制 ,一 端 配 置 为 自动 协商 。 
检查 中 间 线 路 ,检查 下 光 功 率 ,看 下 是 否 处 于 临界 值 ,如 果 有 条 件 可 以 通过 更 换 光 模块 更换 尾 
纤 或 清洗 光 模 块 连接 器 的 方式 解决 。 

(4) PoE 端口 故障 检测 

命令 : poe enable 

例如 : 以 GigabitEthernet 1/0/1 端口 为 例 。 


—<Sysname> system-view 
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[Sysname] interface gigabitethernet 1/0/1 


[Sysname-GigabitEthernet1/0/1]poe enable 


如 设备 本 身 是 支持 PoE 的 设备 但 却 提示 “PoE is not supported on the port” 则 说 明 PoE 


硬件 存在 问题 ,可 尝试 采用 冷 重启 的 方式 重新 复位 看 能 否 恢复 ,如 不 能 恢复 则 可 判断 为 PoE 
硬件 故障 。 


(5) 查看 local logbuffer 异常 记录 
命令 : en_diag 
local logbuf fer display 


<Sysname> system-view 
[Sysname]en_diag 


[Sysname_diag] local logbuffer display 


处 理 。 


如 果 在 local log 看 到 下 列 一 致 的 报错 , 即 可 确定 为 硬件 故障 ,其 他 故障 可 以 联系 400 热线 


unit %d MMU channel 0 cell CRC error 

unit Wd MMU channel 0 packet CRC error 

unit %d MMU channel 0 next pointer CRC error 

unit %d MMU channel 0 pointer block CRC error 

unit %d MMU channel 1 cell CRC error 

unit %d MMU channel 1 packet CRC error 

unit %d MMU channel 1 next pointer CRC error 

unit %d MMU channel 1 pointer block CRC error 

unit %d MMU ingress buffer overflow 

unit %d MMU MSYS ingress buffer cell inconsistency 

unit %d MMU IPMC pointer table parity error 

unit %d MMU IPMC parity error if no table 

unit %d MMU ingress statistics parity error 

unit %d MMU fatal MCU FIFO error\n", unit 

unit %d MMU fatal ASM FIFO error\n", unit 

unit %d MMU possibly fatal ASM IGMU error 

soc_fb_mmu_parity_error:unit = %d," 
"INTSTATUS = 0x%08x Fail Count = %d\n", 

unit = %d, CFAPFAILERROR 


unit = %d, CFAPPARITYERRORPTR 0x% 08x 
unit = %d, MMU Soft Reset Error 


unit = %d, MMU Cell not in progress 


unit = %d, CBPCELLCRCERRPTR 0x% 08x 
unit = %d, CBPPKTHDRPARITYERRPTR 0x% 08x 


unit = %d, CBPCELLHDRPARITYERRPTR 0x% 08x 


unit = %d, XQPARITYERRORPBM 0x% 08x 
unit = %d, CCPPARITYERRORPTR 0x%08x 


unit= %d, IPMC Over Pre-set Replication Limit 
_soc_hx_ipipe_parity_error:unit = %d," 
"L2 _ENTRY_PARITY_STATUS = 0x%08x, " 

"Bucket = %d Entry Bitmap 0x%02x\n" 
Tucana MMU DRAM %s CRC error at 0x% 08x 
Tucana ARL parity analysis 
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1. 高 端 交换 机 等 价 路 由 及 链 路 聚合 出 口 流量 负载 不 均 故 障 排查 
负载 不 均 问题 的 主要 排查 思路 如 下 。 
O 判定 设备 是 否 为 PE 设备 的 等 价 路 由 出 口 。 查 看 隧道 策略 的 情况 ,开启 隧道 策略 ,调整 


LSP 负载 分 担 数目 。 


© 判定 流量 出 口 是 否 分 步 在 IRF 系统 的 不 同 框 上 ,调整 流量 进入 IRF 系统 时 就 分 布 到 


不 同 框 上 。 


@ 判定 是 否 为 设备 间 二 次 hash 情况 ,调整 上 下 级 设备 的 hash 因子 错开 。 

@ 判定 是 否 为 本 设备 的 二 次 hash, 尝 试 升级 或 者 直接 联系 400 寻求 帮助 。 

@ 判定 只 是 普通 的 等 价 路 由 或 者 链 路 聚合 ,调整 hash 因子 观察 效果 。 

© 如 果 调 整 后 效果 不 好 ,通过 抓 包 确定 是 否 是 由 于 现 网 流量 自身 特点 导致 的 分 担 不 均 。 
© 上 面 的 所 有 步骤 都 做 了 ,依旧 没有 效果 ,收集 信息 并 联系 400 寻求 帮助 。 

2. 流程 图 相关 操作 说 明 

(1) 判定 设备 是 否 为 PE 设备 的 等 价 路 由 出 口 。 

在 这 种 组 网 下 ,现场 情况 如 下 。 

可 以 看 到 私 网 路 由 已 经 等 价 。 


<H3C> dis ip routing-tabl vpn-instance unicom 119.34.128.0 
Routing Tables:Unicom Destinations : 1019 Routes : 1998 
Destination/ Mask Proto Pre Cost NextHop Interface 
119.34.128.0/21 BGP 255 0 172.22.1.250 NULLO 
BGP 255 0 172.22.1.250 NULLO 


但 是 查看 设备 转发 表 里 面 ,这 条 路 由 却 并 没有 形成 等 价 。 


<H3C> dis fibvpn-instance unicom 
Destination/Mask Nexthop Flag OutInterface InnerLabel Token 
119.34.128.0/21 172.22.1.250 UDG NULLO 2087 2161 


查看 到 目的 地 址 的 标签 转发 表 也 只 有 一 个 ,因此 流量 不 能 负载 均衡 。 


<H3C>dismpls nhlfe 

Total NHLFE Entry: 60 

Out-Interface Token Oper Nexthop Deep Stack 
XGE8/0/1 2161 PUSH 172.22.0.229 1 1963 


(2) 开启 隧道 策略 ,调整 LSP 负载 分 担 数目 
S125/95E 作为 PE 双 上 行 的 组 网 , 若 希望 实现 双 上 行 ECMP 负载 分 担 ,需要 同步 开启 隧 


道 策略 ,调整 LSP 负载 分 担 数目 ,才能 实现 负载 分 担 。 默 认 情 况 下 未 使 能 MPLS LSP 等 价 ， 
如 果 存 在 多 条 LSP, 则 优选 先 建立 的 LSP, 但 可 通过 配置 tnl-policy 来 实现 LSP 的 等 价 。 


CH3C] tunnel-policy 1 

[H3C-tunnel-policy-1] tunnel select-seq lsp load-balance-number 2 
[H3C]ip vpn-instance 1 

[H3C-vpn-instance-1]tnl-policy 1 
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(3) 判定 流量 出 口 是 否 分 步 在 IRF 系统 的 不 同 框 上 

如 果 确 定 现场 不 是 PE 的 等 价 路 由 设备 ,那么 确定 现场 是 否 为 IRF 系统 ,流量 出 口 是 否 分 
担 到 IRF 系统 的 不 同 框 上 的 出 口 。 由 于 高 端 交换 机 具有 本 地 优先 转发 的 情况 ,从 本 框 进入 的 
流量 ,如 果 本 框 有 出 口 ,不 管 出 口 是 链 路 聚合 出 口 或 者 ECMP iH H ,都 只 会 从 本 框 优先 转发 ， 
不 会 跨 框 转发 。 因 此 在 这 种 情况 下 会 出 现 出 口 流 量 不 均 的 情况 。 

(4) 让 进入 IRF 系统 的 流量 分 布 到 不 同 框 上 

只 有 在 进入 IRF 系统 之 前 调整 流量 走向 ,让 流量 分 担 到 不 同 的 框 上 转发 。 

说 明 : 有 一 种 情况 例外 ,本 框 链 路 聚合 十 ECMP 的 方式 , 即 IRF 系统 是 ECMP 出 口 在 不 
同 的 框 , 每 个 出 口 又 是 本 框 链 路 聚合 出 口 ,这 种 情况 下 不 会 本 框 优 先 转发 ,会 跨 框 负载 (如 
图 5-2 所 示 )。 如 果 是 这 种 情况 ,请 往 下 排查 。 

(5) 判定 是 否 为 设备 间 二 次 hash 

设备 间 的 二 次 hash, 指 的 是 在 上 级 设备 进行 了 ECMP 或 者 链 路 聚合 后 到 达 本 设备 ,在 设 
备 再 进行 一 次 ECMP 或 者 链 路 聚合 。 如 图 5-3 所 示 , 有 两 个 等 价 路 由 链 路 出 口 ,VOD3 到 目 
的 网 段 有 两 条 等 价 路 由 ,下 一 跳 分 别 为 VOD1 和 VOD2 ,在 VOD1 和 VOD2 到 目的 网 段 分 别 
也 有 两 个 等 价 路 由 ,下 一 跳 分 别 是 A 和 B, VOD4 和 VOD2 也 是 相同 情况 。 在 VODI 和 
VOD2 上 面 流量 始终 只 走 了 其 中 一 条 ECMP 链 路 ,另外 一 条 链 路 流量 很 少 或 者 基本 上 没有 


图 5-2 本 框 链 路 聚合 十 ECMP 图 5-3 设备 间 二 次 hash 


在 第 一 台 设 备 进 行 过 一 次 hash 后 , 某 些 流 被 发 到 了 VOD1, 其 他 流 被 发 到 了 VOD2; 到 了 
VODI 设备 以 后 由 于 VODI 设备 和 VOD3 设备 用 的 是 同样 的 hash key, 那 么 会 出 现 某 些 hash 
因子 偏 少 , 某 些 hash 因子 偏 多 的 情况 ,也 就 是 从 VOD1 和 VOD2 设备 出 去 的 流量 会 非常 不 

A 


(6) 将 上 下 级 设备 的 hash 因子 错开 
可 通过 将 两 级 设备 hash key 错开 的 方法 来 解决 ,例如 第 一 级 使 用 源 地 址 、 源 端口 ,第 二 级 
使 用 目的 地 址 、 目 的 端口 等 。 


VOD3/VOD4: link-aggregation load-sharing mode source-ip source-port destination-ip destination-port 
VOD1/ VOD2: link-aggregation load-sharing mode source-ip destination-ip 
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(7) 判定 是 否 为 本 设备 的 二 次 hash 

本 设备 的 二 次 hash, 指 的 是 本 设备 有 ecmp 出 口 ,并 且 每 个 出 口 都 是 链 路 聚合 出 口 。 如 
图 5-4 所 示 ,在 这 种 组 网 下 ,也 很 容易 出 现 流 量 负载 不 均 的 情况 ,原因 和 设备 间 二 次 hash 的 原 
因 一 致 。 

对 于 这 种 情况 ,解决 方法 如 下 。 

O V5 版 本 : 如 果 是 1828 之 前 版 本 (不 含 1828) 那 么 
可 以 尝试 升级 到 最 新 版 本 (最 新 版 本 对 于 聚合 组 内 成 员 
端口 数 小 于 等 于 6 的 情况 做 了 一 定 优化 ) 。 

@ V7 版 本 : 如 果 是 7328 之 前 版 本 (不 含 7328) 那 么 
可 以 尝试 升级 到 最 新 版 本 。 

最 新 版 本 聚合 组 内 成 员 端口 数 小 于 等 于 6 的 情况 做 
了 一 定 优化 ; 如 果 升 级 了 仍然 效果 不 明显 ,尝试 用 ip 
load-sharing mode 命令 调整 逐 流 负载 分 担 算法 。 

现场 如 果 判 定 出 了 这 种 情况 ,可 直接 收集 设备 信息 
再 拨打 热线 400-810-0504 寻求 帮助 。 5-4 本 设备 的 二 次 hash 

(8) 调整 负载 分 担 类 型 

判断 到 这 一 步 , 已 经 可 以 确定 为 普通 的 等 价 路 由 出 口 或 链 路 聚合 出 口 。 等 价 路 由 和 链 路 
聚合 负载 分 担 和 两 个 因素 有 关 : 设备 配置 的 负载 分 担 类 型 ; 现 网 流量 本 身 的 变化 情况 。 

解决 方法 : 尝试 调整 设备 的 负载 分 担 类 型 。 


V5:link-aggregation load-sharing mode { destination-ip | destination-mac | destination-port | ingress-| 
port | | mpls-labell | mpls-label2 | mpls-label3 | source-ip | source-mac | source-port } 


V7 :link-aggregation global load-sharing mode ( { destination-ip | destination-mac | destination-port | 
ingress-port | mpls-labell | mpls-label2 | mpls-label3 | source-ip | source-mac | source-port ) * | per- 
packet } 


(9) 抓 包 分 析 流 量 特点 

如 果 试 了 各 种 负载 分 担 类 型 还 是 分 担 不 均 ,那么 说 明 流 量 本 身 是 不 均匀 的 ,建议 抓 包 分 析 
流量 是 现 网 流量 自身 特点 导致 的 分 担 不 均 , 如 果 本 身 某 类 流量 就 很 多 ,hash 后 该 流量 还 是 始 
终 会 hash 到 相同 链 路 ,所 以 这 种 情况 下 需要 分 析 扩 容 是 否 可 以 对 分 担 不 均 有 改善 。 

如 果 流 量 模型 没有 某 类 流量 大 的 情况 ,可 直接 收集 设备 信息 再 拨打 热线 400-810-0504 =+ 
求 帮助 。 
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1. 开始 

交换 机 二 次 电源 故障 指 单 板 上 的 电源 故障 ,故障 后 单 板 不 能 正常 工作 ,主要 排查 思路 如 下 。 
D 判定 设备 接口 板 状 态 是 否 正 常 。 

@ 判定 诊断 信息 中 是 否 存在 对 应 接口 板 的 poweroff 动作 。 

@ 判定 diagfile 中 记录 的 Hareware error,p2 的 取 值 范围 在 0 一 31 或 大 于 等 于 100. 

@ 判定 diagfile 中 记录 问题 时 间 点 a power down event 关键 字 。 

© 上 面 的 所 有 步骤 都 做 了 ,依旧 没有 效果 ,收集 信息 并 联系 400 寻求 帮助 。 

2. 流程 图 相关 操作 说 明 


(1) 判定 设备 接口 板 状态 是 否 正常 
交换 机 二 次 电源 故障 指 单 板 上 的 电源 故障 ,故障 后 单 板 不 能 正常 工作 ,首先 判断 接口 板 


< H3C>-4isplay device 

Slot No. Brd Type Brd Status Software Version 
0 LSTIMRPNC1 Master S12500-CMW520-R1828P04 
11 NONEAbsent NONE 
2 LST1GT48LEC1 Normal S12500-CMW520-R1828P04 
3 NONE Off NONE 


如 果 该 接口 板 显示 状态 为 Off 即 可 以 认定 为 二 次 电源 故障 。 
(2) 诊断 信息 中 是 否 存在 对 应 接口 板 的 poweroff 动作 
按 以 下 方式 收集 设备 的 诊断 信息 ,并 导出 。 


<H3C>display diagnostic-information 

Save or display diagnostic information (Y=save, N=display)? [Y/N] :y 
Please input the filename( * . diag) [cfal:/default. diag] : 

Diagnostic information is outputting to cfal : / default. diag. 

Please wait... 

Save successfully. 


搜索 诊断 信息 中 的 以 下 信息 。 


--Displaydevd board event of Slot 0- 
Slot Flag OldState NewState Seqld Date Time 

3 Power PowerOn ->PowerOff 2b15ccd 2014/09/01 16:16:51:705 

3 Power PowerOn ->PowerOn 2b15cb7 2014/09/01 16:16:29:671 

3 Power PowerOn ->PowerOn 2bl5c2b 2014/09/01 16:14:08 :257 

3 Power PowerOn -—PowerOn 2b15b9f 2014/09/01 16:11:46 :843 


查看 到 诊断 信息 中 有 上 面 的 poweroff 记录 则 判定 为 二 次 电源 故障 。 
(3) 排查 diagfile 
排查 diagfile 中 是 否 记 录 Hardware error,p2 的 取 值 范围 是 否 在 0 一 31 或 大 于 等 于 100. 
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按 以 下 方式 收集 设备 diagfile 信息 ,并 导出 。 


[LH3C]_hide 

Now you enter a hidden command view for developer's testing, some commands may 

affect operation by wrong use, please carefully use it with our engineer's 

direction. 

[H3C-hidecmd]_diagnose-filesa 

[H3C-hidecmd]_diagnose-filesave 

Info: Save all the contents in the diagnostic file buffer into file cfal :/diaglog/diagfile2. log successfully. 


搜索 diagfile 信息 中 的 以 下 信息 。 


%@3376660104 Sep 1 17:10:33:557 2014 S12508 DIAG/3/ERROR:0xcc180515 [1427]: Hardware 
error! pl=3, p2=102 

%@3376660105 Sep 1 17:10:33:557 2014 S12508 DIAG/3/ERROR:0xcc180515 [1427]: Hardware 
error! pl=3, p2=103 

%@3376660106Sep 117:10:33:557 2014 S12508 DIAG/3/ERROR:0xcc180515 [1427]: Hardware 
error! pl=3, p2=104 

%@3376660107Sep 1 17:10:33:557 2014 S12508 DIAG/3/ERROR :0xcc180515 [1427]: Hardware 
error! pl=3, p2=106 

%@3376660108Sep 1 17:10:33:557 2014 BJ-JX2F-C-S12508-48.Int DIAG/3/ERROR:0xcc180515 
[1427]: Hardware error! pl=3, p2=107 


查看 到 diagfile 信息 中 ,有 Hardware error 记录 ,并 且 p2 的 取 值 范围 大 于 了 100。 有 该 记 
录 则 判定 为 二 次 电源 故障 。 

(4) diagfile 中 记录 问题 时 间 点 a power down event 关键 字 

查看 到 diagfile 信息 中 有 如 上 power down event 记录 则 判定 为 二 次 电源 故障 。 


%@4872 Sep 18 09:26:38:938 2014 S12500 Slot=3; SYSM/3/SYSM_NOTICE:0xcc000000 
[367]: Board has experienced a power down event. 


(5) 更 换 单 板 

只 要 判断 为 二 次 电源 故障 ,可 以 直接 更 换 单 板 解决 。 

(6) 以 上 信息 均 没有 

如 果 更 换 单 板 后 , 单 板 依旧 故障 ,或 者 无 上 述 信息 , 则 请 打 400-810-0504 寻求 帮助 。 
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5 = 上 常见 w 
5 交换 机 产品 y sa min y Sl asas. # 


1. 开始 


定位 故障 思路 是 : 对 于 常见 的 设备 硬件 故障 问题 的 判断 ,可 以 分 为 几 个 部 分 去 检查 ,包括 
设备 环境 的 硬件 状态 检查 .端口 故障 状态 的 硬件 检查 .PoE 硬件 故障 local logbuffer 的 异常 记 
录 来 判断 设备 是 否 存在 硬件 故障 。 

2. 流程 图 相关 操作 说 明 

(1) 设备 环境 硬件 状态 检查 

OD 检查 设备 环境 状况 。 


MA: display environment 


<Sysname> display environment 


System temperature information (degree centigrade) : 


Slot Sensor Temperature Lower Warning Alarm Shutdown 
0 


inflow 1 25 0 80 97 NA 
0 hotspot 1 38 0 80 S7 NA 
2 hotspot 1 31 0 75 92 NA 
3 hotspot 1 34 0 75 92 NA 
4 hotspot 1 43 0 75 92 NA 
4 hotspot 2 55 0 88 100 110 
6 hotspot 1 38 0 75 92 NA 


Temperature 指 的 是 当前 温度 , LowerLimit 指 的 是 温度 传感器 的 低温 告警 门限 ， 
WarningLimit 指 的 是 温度 传感器 的 一 般 级 (Warning) 高 温 告警 门限 。 各 传感器 温度 应 处 于 低 
温 告警 门限 与 一 般 级 高 温 告警 门限 之 间 ,如 出 现 异 常温 度 告警 ,比如 一 1C 255°C 等 ,一 般 是 软 
件 版 本 问题 或 温度 传感器 硬件 故障 ,需要 更 换 单 板 。 

© 检查 设备 风扇 状况 。 

MS: display fan 


<Sysname> display fan 
Chassis 1: 

Fan 1 State: Normal 
Chassis 2: 


Fan 1 State: Normal 


State 表示 的 是 风扇 的 状态 ,风扇 应 该 显示 Normal。 如 出 现 Fault 或 Absent, 建 议 重新 插 
拔 后 尝试 ,如 问题 仍然 存在 ,建议 更 换 风扇 。 

@ 检查 设备 电源 状况 。 

命令 : display power 


H 


EA khna 


359 


Power 


Power 


Power 


Power 


<Sysname> display power 

0 State: Normal 
1 State: Absent 
2 State: Absent 


3 State: Absent 


State 表示 的 是 电源 的 状态 ,电源 状态 应 该 显示 Normal。 如 出 现 Absent, 查 看 下 电源 开 
关 是 否 打开 或 者 电源 输入 是 否 正 常 接 人 ,如 出 现 Fault 建议 重新 插 拔 后 尝试 ,如 问题 仍然 存 
在 ,建议 更 换 电源 。 
@ 检查 单 板 状态 指示 灯 状 况 。 观 察 单 板 的 状态 指示 灯 运 行 状 况 如 表 5-8 所 示 。 


表 5-8 单 板 的 状态 指示 灯 运 行 状况 


单 板 状态 指示 灯 状 态 
指示 灯 含 义 
RUN ALM 
闪烁 (1 次 / 秒 )? HK 对 应 槽 位 单 板 正 常 工作 
对 应 槽 位 单 板 温 度 异 常 ( 温 度 高 于 Warning 高 温 门限 或 者 

闪烁 (1 次 / 秒 ) 闪烁 (每 4 秒 一 次 ) 温度 低 于 低温 告警 门限 ) 

常 亮 常 亮 对 应 槽 位 单 板 正在 启动 或 者 对 应 槽 位 单 板 故 障 

灯 灭 灯 灭 对 应 槽 位 单 板 不 在 位 


检查 主 控 板 上 , 单 板 状态 指示 灯 , 如 果 RUN 灯 和 ALM 等 常 亮 ,可 以 主 备 倒 换 和 替换 单 板 
模 位 看 下 ,如 果 现 象 依旧 即 为 单 板 故 障 。 
O 单 板 状态 异常 。 


命令 : Display device 


0 


J 


2 


3 


Slot Type 


LSU1SUPA0 


NONE 


LSU1GP24TXSE0 


LSU1GP48EB0 


LSU1TGS32SF0 


NONE 


LSU1FAB04A0 


NONE 


NONE 


NONE 


State 


Master 


Absent 


Normal 


Normal 


Normal 


Absent 


Normal 


Absent 


Absent 


Absent 


Subslot Soft Ver 

0 S10500-0000 
0 NONE 

0 S10500-0000 
0 S10500-0000 
0 S10500-0000 
0 NONE 

0 S10500-0000 
0 NONE 

0 NONE 

0 NONE 


Patch Ver 


None 


None 


None 


None 


None 


None 


None 


None 


None 


None 
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所 有 业务 板 应 该 是 Normal, 主 控 板 为 STANDBY、MASTER 状态 ,如 果 display device 出 
现 Fault 或 Absent 状态 ,分 析 如 下 。 

(a) 如 果 是 新 加 入 的 主 控 板 ,同一 设备 两 块 主 控 板 要 求 为 同样 型 号 ,如 不 一 致 ,需要 更 换 
解决 、 同 一 设备 两 块 主 控 板 要 求 使 用 同样 版 本 ,否则 复发 启动 、 重 新 上 传 相同 的 app 文件 启动 、 
内 存 故障 : 使 用 备用 主 控 板 自身 的 Console 口 连接 Console 线 , 待 主 控 板 启动 时 使 用 Ctrl 十 工 
测试 ,如 出 现 内 存 FAI 则 内 存 故障 ,需要 更 换 备用 主 控 板 。 

(b) 如 果 出 现 业 务 板 Fault 或 Absent, 故 障 点 有 主 控 板 、 机 框 、 业 务 板 ,一 般 通 过 替换 测试 
可 以 完全 确定 。 如 果 双 主 控 设备 ,可 以 通过 主 备 倒 换 确认 是 否 业务 板 在 同一 槽 位 的 工作 状况 
确认 是 否 主 控 板 问题 , 主 备 倒 换 后 如 业务 板 卡 注册 正常 , 则 主 控 板 故 障 肯 定性 最 大 。 将 该 故障 
板 卡 蔡 换 到 别 的 槽 位 ,依旧 无 法 启动 , 则 业务 板 故 障 可 能 性 最 大 。 如 果 蔡 换 槽 位 能 够 正常 启 
动 , 则 可 能 是 机 框 或 者 是 主 控 板 故障 ,可 以 替换 主 控 板 测试 。 

(2) 检查 设备 端口 故障 状态 

判断 端口 是 否 是 光 口 ,如 果 不 是 光 口 ,按照 步骤 (2)@ 的 流程 进行 分 析 判 断 ; 如 果 为 光 口 ， 
按照 步骤 (2)@ 的 流程 进行 分 析 和 判断 。 

O 端口 是 否 协商 出 了 半 双 工 。 

MA: display inter face brief 

例如 : 以 GigabitEthernet 1/0/2 端口 为 例 。 


<sysname>display interface brief 


The brief information of interface(s) under bridge mode: 
Link: ADM - administratively down; Stby - standby 
Speed or Duplex: (a)/A - auto; H - half; F - full 
Type: A - access; T - trunk; H - hybrid 


Interface Link Speed Duplex Type PVID Description 
GE1/0/1 Down auto A H | 
GE1/0/2 Down auto H A 1 
GE1/0/3 Down auto A A i 
GE1/0/4 Down auto A A 1 
GE1/0/5 Down auto A A L 
GE1/0/6 Down auto A A 1 
GE1/0/7 Down auto A A 1 
GE1/0/8 Downauto A A 
GE1/0/9 Downauto A A È 
GE1/0/10 Down auto A A al 


如 果 某 个 端口 状态 为 half, 如 interface GigabitEthernet 1/0/2 duplex 为 half, 则 需要 确认 
是 否 两 端 配置 看 下 是 否 是 因为 配置 不 一 致 导致 的 双 工 状态 为 half。 

@ 是 否 在 没有 必要 启动 流 控 端口 配置 流 控 。 

MS: display this 

例如 : 以 GigabitEthernet 1/0/2 端口 为 例 。 


[sysname-GigabitEthernet1/0/2]display this 
# 
interface GigabitEthernet1/0/2 

port link-mode bridge 

duplex half 
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flow-control 
loopback-detection enable 
loopback-detection action shutdown 


# 


return 


如 果 某 个 端口 不 需要 开启 端口 流 控 ,查看 该 端口 下 是 否 配置 了 flow-control, 在 不 需要 开 
启 流 控 的 端口 可 以 通过 命令 undo flow-control 来 关闭 流 控 配 置 来 观察 一 下 。 

@ 端口 出 /入 方向 是 否 有 大 量 的 错误 报 文 

MA: display inter face interface-type interface-number 


例如 : 以 GigabitEthernet 1/0/1 端口 为 例 。 


<Sysname> display interface GigabitEthernet 1/0/1 
Last 300 seconds output: 0 packets/sec 0 bytes/sec -% 
Input (total): 0 packets, 0 bytes 

0 unicasts，0 broadcasts, 0 multicasts, 0 pauses 
Input (normal): 0 packets, - bytes 

0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses 
Input: 0 input errors, 0 runts, 0 giants, 0 throttles 

0 CRC, 0 frame, - overruns, 0 aborts 

-ignored, - parity errors 

Output (total): 0 packets, 0 bytes 

0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses 
Output (normal): 0 packets, - bytes 

0 unicasts，0 broadcasts, 0 multicasts, 0 pauses 
Output: 0 output errors, -underruns, - buffer failures 
0 aborts, 0 deferred, 0 collisions, 0 late collisions 

0 lostcarrier，- no carrier 


检查 设备 的 出 和 方向, 是否 有 大 量 的 错误 报 文 ,如 果 确 实 存在 大 量 的 错误 包 , 检 查 一 下 本 
端 和 对 端的 配置 是 相同 ,有 没有 存在 一 端 配置 为 强制 ,一 端 配置 为 自动 协商 。 检 查 中 间 线 路 ， 
如 果 有 条 件 最 好 能 够 蔡 换 网 线 测试 观察 ,看 故障 现象 是 否 消失 、 错 误 报 文 是 否 还 有 增长 。 

@ 设备 是 否 有 比较 频繁 的 端口 Up/Down, 

命令 : display logbuf fer 

例如 : 以 GigabitEthernet 1/0/1 端口 为 例 。 


=sysname> display logbuffer 


% Apr 27 04:18:04:331 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/16 link statusi 
is Down. 


% Apr 27 04:18:04:605 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/10 link status 
is Down. 

% Apr 27 04: 18: 04: 717 2000sysname IFNET/3/LINK _ Up/Down: Vlan-interfacel link status is 
Down. 

% Apr 27 04:18: 04: 859 2000sysname IFNET/5/LINEPROTO _ Up/Down: Line protocol on the 
interface Vlan-interface1 is Down. 

% Apr 27 04:18:08:706 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/10 link status 
is Up. 

% Apr 27 04:18:08:818 2000sysname IFNET/3/LINK_Up/Down: Vlan-interfacel link status is Up. 
% Apr 27 04: 18: 08: 960 2000sysname IFNET/5/LINEPROTO _ Up/Down: Line protocol on the 
interface Vlan-interface1 is Up. 
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% Apr 27 04:18:09:082 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/16 link status 
is Up. 

% Apr 27 04:18:10:127 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/10 link status 
is Down. 


% Apr 27 04:18:10:403 2000sysname IFNET/3/LINK_Up/Down: GigabitEthernet1/0/16 link statusi 
is Down. 


查看 设备 的 logbuffer, 检 查 设备 是 否 存在 频繁 的 端口 的 Up/Down 信息 。 检 查 一 下 本 端 
和 对 端的 配置 是 相同 ,有 没有 存在 一 端 配置 为 强制 ,一 端 配置 为 自动 协商 。 修 改 下 配置 能 否 恢 
复 ,同时 检查 中 间 线 路 ,如 果 有 条 件 最 好 能 够 替换 网 线 测试 观察 ,看 故障 现象 是 否 消失 。 

© 交口 两 端 是 否 配置 一 致 。 


命令 : display current-con figuration inter face 


sysname> display current-configuration interface 
# 
interface GigabitEthernet1/0/1 
port link-mode bridge 
port link-type hybrid 
port hybrid vlan 1 untagged 
voice vlan 30 enable 
lldp compliance admin-status cdp txrx 
lldp voice-vlan 30 
# 
interface GigabitEthernet1/0/2 
port link-mode bridge 
duplex half 
flow-control 
loopback-detection enable 
loopback-detection action shutdown 


# 


检查 当前 端口 的 配置 和 对 端的 端口 配置 ,是 否 存在 配置 不 一 致 的 情况 ,H3C 设备 与 其 他 
厂商 设备 互 连 , 建 议 光 口 速率 和 双 工 设置 要 完全 一 致 。 

© 端口 出 /入 方向 是 否 有 大 量 的 错误 报 文 。 

MA: display inter face interface-type interface-number 


例如 : 以 GigabitEthernet 1/0/1 端口 为 例 。 


Sysname> display interface GigabitEthernet 1/0/1 
Last 300 seconds output: 0 packets/sec 0 bytes/sec -% 
Input (total): 0 packets, 0 bytes 

0 unicasts，0 broadcasts, 0 multicasts, 0 pauses 
Input (normal): 0 packets, - bytes 

0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses 
Input: 0 input errors, 0 runts, 0 giants, 0 throttles 

0 CRC, 0 frame, - overruns, 0 aborts 

-ignored, - parity errors 

Output (total): 0 packets, 0 bytes 

0 unicasts，0 broadcasts, 0 multicasts, 0 pauses 
Output (normal): 0 packets, - bytes 

0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses 
Output: 0 output errors, -underruns, - buffer failures 


医 5 一 > 交换 机 产品 363 


0 aborts, 0 deferred, 0 collisions, 0 late collisions 
0 lostcarrier, - no carrier 


检查 设备 的 出 和 方向 ,是 否 有 大 量 的 错误 报 文 ,并 且 持 续 增长 ,如果 确实 存在 大 量 的 错误 
包 , 检 查 一 下 本 端 和 对 端的 配置 是 相同 ,有 没有 存在 一 端 配置 为 强制 ,一端 配置 为 自动 协商 。 
检查 中 间 线 路 ,检查 下 光 功 率 ,看 下 是 否 处 于 临界 值 ,如 果 有 条 件 可 以 通过 更 换 光 模块 更换 尾 
纤 或 清洗 光 模 块 连接 器 的 方式 解决 。 

(3) PoE 端口 故障 检测 

命令 : poe enable 

例如 : 以 GigabitEthernet 1/0/1 端口 为 例 。 


—<Sysname> system-view 


[Sysname] interface GigabitEthernet 1/0/1 


[Sysname-GigabitEthernet1/0/1] poe enable 


如 设备 本 身 是 支持 PoE 的 设备 但 却 提示 “PoE is not supported on the port” 则 说 明 PoE 
硬件 存在 问题 ,可 尝试 采用 冷 重 启 的 方式 重新 复位 看 能 否 恢复 ,如 不 能 恢复 则 可 判断 为 PoE 
硬件 故障 。 

(4) 查看 local logbuffer 异常 记录 

命令 : en_diag 


local logbuf fer display 


<Sysname> system-view 
[Sysname]en_diag 


[Sysname_diag]local logbuffer display 


如 果 在 local log 看 下 下 列 一 致 的 报错 , 即 可 确定 为 硬件 故障 ,其 他 故障 可 以 联系 400 热线 
处 理 。 


unit %d MMU channel 0 cell CRC error 

unit %d MMU channel 0 packet CRC error 

unit %d MMU channel 0 next pointer CRC error 
unit %d MMU channel 0 pointer block CRC error 
unit %d MMU channel 1 cell CRC error 

unit %d MMU channel 1 packet CRC error 

unit %d MMU channel 1 next pointer CRC error 
unit %d MMU channel 1 pointer block CRC error 
unit %d MMU ingress buffer overflow 

unit %d MMU MSYS ingress buffer cell inconsistency 
unit %d MMU IPMC pointer table parity error 
unit %d MMU IPMC parity error if no table 

unit %d MMU ingress statistics parity error 

unit %d MMU fatal MCU FIFO error\n", unit 
unit %d MMU fatal ASM FIFO error\n", unit 
unit %d MMU possibly fatal ASM IGMU error 
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soc_fb_mmu_parity_error:unit = %d," 

"INTSTATUS = 0x%08x Fail Count = %d\n", 
unit = %d, CFAPFAILERROR 
unit = %d, CFAPPARITYERRORPTR 0x%08x 
unit = %d, MMU Soft Reset Error 
unit = %d, MMU Cell not in progress 
unit = %d, CBPCELLCRCERRPTR 0x% 08x 
unit = %d, CBPPKTHDRPARITYERRPTR 0x%08x 
unit = %d, CBPCELLHDRPARITYERRPTR 0x%08x 
unit = %d, XQPARITYERRORPBM 0x% 08x 
unit = %d, CCPPARITYERRORPTR 0x% 08x 
unit= %d, IPMC Over Pre-set Replication Limit 
_soc_hx_ipipe_parity_error:unit = %d," 
"L2_ENTRY_PARITY_STATUS = 0x%08x, " 

"Bucket = %d Entry Bitmap 0x%02x\n" 

Tucana MMU DRAM %s CRC error at 0x% 08x 
Tucana ARL parity analysis 
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== Hj == m E1 Z= == aa 5.1.16 12500_9500E 端口 镜 š 
05 交换 机 产品 5.1 高 端 产品 像 不 生效 故障 排查 步骤 详解 


1. 开始 

端口 镜像 不 生效 排查 思路 如 下 。 

O 确定 端口 镜像 下 发 是 否 成 功 ,端口 镜像 下 发 不 生效 的 原因 一 般 是 超 资 源 , 因 此 要 排查 
资源 是 否 有 超 规格 的 情况 。 

© 排查 接口 或 者 全 局 是 否 存 在 流 镜像 的 情况 ,如 果 有 需要 去 掉 全 局 或 者 接口 流 镜像 。 

O 排查 是 否 存 在 IRF 系统 中 跨 框 镜像 的 情况 ,如 果 存 在 , 则 需要 通过 特殊 配置 方式 实现 
客户 跨 框 镜像 需求 。 

© 如 果 以 上 问题 都 不 存在 ,那么 收集 信息 ,拨打 400-810-0504 寻求 帮助 。 

2. 流程 图 相关 操作 说 明 

(1) 排查 端口 镜像 是 否 下 发 成 功 

通过 下 面 display mirroring-group 命令 可 以 查看 端口 镜像 是 否 可 以 下 发 成 功 。 

可 以 看 到 镜像 组 1 的 状态 是 active, 镜 像 组 2 的 状态 是 inactive。 那 么 可 以 确定 镜像 组 2 
没有 下 发 成 功 。 一 般 没 有 下 发 成 功 的 情况 有 可 能 是 超过 镜像 资源 了 。 


[H3C] dis mirroring-group all 
mirroring-group 1: 
type: local 
status: active 
mirroring port: 
GigabitEthernet2/0/1 both 
mirroring VLAN: 
monitor port: GigabitEthernet2/0/47 
mirroring-group 2: 
type: local 
status: inactive 
mirroring port: 
GigabitEthernet2/0/2 both 
mirroring VLAN: 
monitor port: 


一 个 本 地 镜像 组 中 可 以 配置 多 个 镜像 端口 , 即 mirroring-port; 一 个 本 地 端口 镜像 组 只 能 
配置 一 个 监控 端口 , 即 monitor-port; 一 个 监控 端口 只 能 属于 一 个 镜像 组 ; 源 VLAN 镜像 将 
会 在 所 有 的 转发 芯片 上 下 发 ,端口 镜像 将 会 在 端口 所 在 转发 芯片 上 下 发 ; 如 果 已 经 下 发 一 个 
单方 向 VLAN 镜像 组 后 ,芯片 只 剩 下 另 一 个 方向 的 镜像 资源 来 配置 另 一 个 方向 的 镜像 组 ; 如 
果 已 经 下 发 双方 向 的 VLAN 镜像 ,那么 芯片 将 没有 更 多 资源 配置 其 他 镜像 组 。 

(2) 合理 规划 镜像 资源 

从 上 一 排查 步骤 命令 看 出 ,g2/0/1 已 经 下 发 了 一 个 镜像 组 了 ,然后 g2/0/2 又 下 发 了 一 个 
另外 一 个 镜像 组 ,由 于 这 两 个 接口 共用 同一 个 芯片 ,那么 肯定 只 能 下 发 成 功 一 个 镜像 组 。 关 于 
12500-9500E 的 镜像 资源 如 下 。 

S9500E 产品 端口 镜像 支持 同方 向 的 镜像 组 数量 : 对 于 24 个 端口 的 GE 单 板 ,1 块 单 板 
只 支持 配置 1 个 镜像 组 ; 四 对 于 48 个 端口 的 GE 单 板 ( 除 了 LSR2GV48REB1 单 板 之 外 )， 
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1 个 单 板 支持 配置 2 个 镜像 组 ,其 中 前 24 个 端口 支持 配置 1 个 镜像 组 ,后 24 个 端口 支持 配置 
1 个 镜像 组 ; @ 对 于 LSR2GV48REB1 单 板 ,1 块 单 板 只 支持 配置 1 个 镜像 组 ; @ 对 于 10GE 
单 板 ( 除 了 LSR1XP16REB1 单 板 之 外 ) ,按照 端口 顺序 , 单 板 上 每 2 个 10GE 端 只 支持 配置 
1 个 镜像 组 ; OXF LSR1XP16REB1 单 板 ,1 个 单 板 支持 配置 2 个 镜像 组 ,按照 端口 顺序 ,前 
8 个 10GE 端口 支持 配置 1 个 镜像 组 ,后 8 个 10GE 端口 支持 配置 1 个 镜像 组 。 

S12500 产品 端口 镜像 支持 同方 向 的 镜像 组 数量 : 对 于 24 个 端口 的 GE 单 板 ,1 块 单 板 
只 支持 配置 1 个 镜像 组 ; @ 对 于 48 个 端口 的 GE 单 板 ,1 块 单 板 支持 配置 2 个 镜像 组 ,其 中 前 
24 个 端口 支持 配置 1 个 镜像 组 ,后 24 个 端口 支持 配置 1 个 镜像 组 ; @ 对 于 10GE 单 板 ( 除 了 
LST1XP32REC1 单 板 之 外 ) ,按照 端口 顺序 , 单 板 上 每 2 个 10GE 端口 只 支持 配置 1 个 镜像 
组 ; OXF LST1XP32REC1 单 板 ,1 个 单 板 支持 配置 4 个 镜像 组 ,按照 端口 顺序 ,前 8 个 
10GE 端口 支持 配置 1 个 镜像 组 ,后 8 个 10GE 端口 支持 配置 1 个 镜像 组 。 

超过 上 述 限制 配置 端口 镜像 组 时 ,会 报 以 下 错误 ,这 个 可 以 在 配置 的 时 候 注意 一 下 报错 情 
况 。 报 错 后 的 镜像 组 在 display mirroring-group 查看 时 就 会 显示 成 上 面 的 inactive 状态 。 如 
果 出 现 这 种 情况 ,需要 合理 规划 镜像 资源 ,同一 个 芯片 只 能 有 一 个 镜像 资源 。 

(3) 确定 全 局 或 者 接口 是 否 开启 了 流 镜像 

查看 全 局 及 接口 是 否 配 置 了 流 镜像 .如果 全 局 或 者 接口 配置 了 流 镜像 ,并 且 匹 配 的 流量 和 
端口 镜像 的 流量 有 重合 ,那么 端口 镜像 的 流量 不 会 生效 。 如 下 显示 ,全 局 及 接口 都 配置 了 流 镜 
像 , 并 且 流 镜像 的 报 文 匹 配 了 所 有 ,那么 端口 镜像 的 所 有 IP 报 文 都 镜像 不 到 。 


[H3C]dis qos policy global 
Direction: Inbound 
Policy: 1 
Classifier: 1 
Operator: AND 
Rule(s) : If-match acl 3000 
Behavior: 1 
Mirror enable: 
Mirror type: interface 
Mirror destination: GigabitEthernet2/0/45 
[H3C]dis qos policy interface GigabitEthernet 2/0/1 
Interface: GigabitEthernet2/0/1 
Direction: Inbound 
Policy: 1 
Classifier: 1 
Operator: AND 
Rule(s) : If-match acl 3000 
Behavior: 1 
Mirror enable: 
Mirror type: interface 
Mirror destination: GigabitEthernet2/0/45 
[LH3C]disacl 3000 
AdvancedACL 3000, named -none-, 1 rule, 
ACL's step is 5 
rule 0 permit ip 


HR Bü A E ë HJ , R I AEE RUFA: 全 局 流 镜像 二 接口 流 镜像 二 入 方向 端口 
镜像 。 由 于 流 镜像 不 支持 出 方向 ,出 方向 端口 镜像 与 流 镜像 不 会 重 又 。 

(4) 去 掉 接口 或 者 全 局 流 镜像 

根据 查看 的 结果 ,关闭 掉 全 局 或 者 端口 下 的 流 镜像 。 
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[H3C]undo qos apply policy 1 global inbound 
[H3C-GigabitEthernet2/0/1]undo qos apply policy 1 inbound 


(5) 确定 是 否 存在 跨 框 镜像 
在 IRF2 模式 下 ,S9500E/S12500 不 支持 流 镜像 到 跨 框 的 目的 端口 , 且 镜 像 到 VLAN 的 
流 镜像 只 能 镜像 到 本 框 , 不 能 镜像 给 跨 框 端口 。 但 是 支持 跨 框 镜像 到 OAA 单 板 ( 例 如 ,镜像 
到 NetStream 单 板 、 重 定向 到 IPS/ACG 单 板 ), 同 时 在 配置 跨 框 流 镜像 到 OAA 单 板 的 端口 
时 ,OAA 单 板 的 端口 必须 包含 在 VLAN 1 内 ,所 以 建议 尽量 不 要 在 VLAN 1 内 配置 其 他 业 
务 , 以 免 影响 统计 结果 。 因 此 需要 确定 现场 是 不 是 IRF 的 组 网 ,并 且 同 一 个 mirroring-group 
里 面 的 mirroring-port 及 monitor-port 是 不 是 分 布 在 不 同 的 框 上 。 
(6) 通过 镜像 环 回 法 实现 跨 框 镜像 
IRF2 模式 下 ,12500/9500E 不 支持 跨 框 端 口 镜像 和 流 镜像 到 跨 框 的 目的 端口 ,但 支持 流 
镜像 到 跨 框 的 OAA 插 卡 。 解 决 跨 框 端口 镜像 ,采用 镜像 环 回 法 。 
说 明 : 跨 框 镜像 的 流量 会 占用 IRF 线路 带宽 ,请 提前 规划 ,使 得 IRF 线路 有 足够 的 带宽 。 
解决 跨 框 端口 镜像 的 配置 举例 如 图 5-5 所 示 。 
| 反射 端口 
| G1/1/0⁄3 
' À. 
| MO8LL ea 可 
u G1/1/0/1 G2/0/0/31 


报 文 
终端 设备 监控 设备 
5-5 解决 跨 框 端口 镜像 


// 新 建 一 个 镜像 VLAN, 该 VLAN 不 能 跑 业 务 ,只 能 用 来 传 镜像 报 文 
vlan 30 
mac-address max-mac-count 0 
// 配 置 端 口 镜像 ,把 mirroring-port 报 文 先 镜像 到 环 回 口 里 面 
mirroring-group 1 local 
mirroring-group 1 mirroring-port GigabitEthernet 1/1/0/1 
mirroring-group 1 moniter-port GigabitEthernet 1/1/0/3 
// 配 置 镜像 环 回 口 
interface GigabitEthernet1/1/0/3 
port access vlan 30 
loopback internal 
qinq enable 
mac-address max-mac-count 0 
stp disable 
// 把 跨 框 的 目的 镜像 端口 加 入 到 镜像 VLAN 30 
interface GigabitEthernet2/0/0/3 
port access vlan 30 


(7) 收集 信息 
如 果 经 过 上 面 的 排查 后 ,依旧 镜像 不 成 功 ,收集 诊断 信息 ,诊断 日 志 , 日 志文 件 ,然后 拨打 
400-810-0504 反馈 测试 结果 寻求 帮助 。 
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a 5 5 5.1.17 中 低 端 交换 机 (V5) 光 
5 交换 机 产品 5.1 局 奖 产 品 口 不 能 Up 故障 排查 步骤 详解 


1. 开始 

光 口 不 能 Up 问题 排查 思路 如 下 。 

Q@ 排查 两 端 光 模块 类 型 以 及 光纤 是 否 匹 配 ,如 果 不 匹 配 ,请 更 换 为 一 致 

@ 排查 两 端 接口 的 端口 速率 和 双 工 配置 是 否 一 致 ,如 果 不 一 致 ,请 更 改 为 一 致 。 

@ 排查 两 端的 收发 光 功 率 是 否 正常 。 如 果 不 正常 ,请 替换 光纤 光 模 块 测试 。 

D 如 果 排 查 光 模 块 、 光 纤 以 及 传输 设备 都 没 问 题 , 那 可 以 通过 更 换 端口 来 排查 是 否 为 端 
口 自身 问题 ,并 同时 收集 信息 ,拨打 400-810-0504 寻求 帮助 。 

2. 流程 图 相关 操作 说 明 

(1) 排查 两 端 光 模 块 类 型 以 及 光纤 是 否 匹配 


通过 下 面 命令 可 以 查看 光 模块 类 型 。 
[H3C] display transceiver interface GigabitEthernet 2/0/1 
GigabitEthernet3/0/21 transceiver information: 
Transceiver Type : 1000_BASE LX_SFP 
Connector Type ¿LCE 
Wavelength(nm) : 1310 
TransferDistance(km) : 10(9um) 
Digital DiagnosticMonitoring : NO 
Vendor Name : H3C 
Ordering Name : SFP-GE-LX10-SM1310 


两 端的 光 模 块 类 型 需要 匹配 ,本 端 是 SFP 的 光 模块 ,对 端 也 必须 是 SFP 的 模块 ,如 果 对 端 
是 SFP 十 的 模块 ,那么 是 对 接 不 成 功 的 。 

如 果 是 多 模 模 块 , 应 该 使 用 多 模 光 纤 ; 单 模 模块 ,使 用 单 模 光 纤 。 多 模 和 多 模 的 判断 可 以 
看 光纤 表皮 的 标识 ,一 般 也 可 以 通过 颜色 来 简单 判断 , 单 模 用 黄色 表皮 ,多 模 光 纤 一 般 用 楼 
色 的 。 

(2) 更 换 两 端 光 模 块 型 号 及 光纤 型 号 

两 端 光 模块 需要 匹配 ,有 一 点 需要 注意 由 于 SFP 十 (10GE) 与 SFP(1GE) 外 形 一 样 所 以 需 
要 注意 两 者 不 要 混用 。 确 定 光 模块 和 光纤 不 匹配 后 ,请 更 换 成 正确 的 型 号 。 

(3) 排查 两 端 接口 的 端口 速率 和 双 工 配置 是 否 一 致 

接口 双 工 速率 不 一 致 ,会 造成 接口 不 能 Up, 所 以 需要 排查 两 端 接口 双 工 及 速率 是 否 一 致 。 


[H3C-GigabitEthernet2/0/1]dis int GigabitEthernet 2/0/1 
GigabitEthernet2/0/1 current state: Down 
Line protocol current state: Down 
Description: GigabitEthernet2/0/1 Interface 
The Maximum Transmit Unit is 1500 
Link delay is 1(sec) 
Internet protocolprocessing : disabled 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0023-8911-7d01 
IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0023-8911-7d01 
Media type isoptical fiber, Port hardware type is 1000_BASE_LX_SFP 
Loopback is not set 
1000 Mbps-speed mode, full-duplex mode 
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(4) 修改 接口 的 速率 和 双 工 配置 
在 接口 下 通过 duplex 和 speed 命令 修改 速率 和 双 工 配置 。 


interface GigabitEthernet2/0/1 
port link-mode route 

duplex full 

speed 1000 


(5) 排查 两 端 接口 的 收发 光 功 率 是 否 正常 


首先 查看 接口 是 否 有 收发 光 异 常 告警 ,可 以 通过 查看 光 模 块 alarm 信息 来 确认 是 本 端 问 
题 还 是 光纤 或 者 对 端 问题 ,alarm 信息 查询 命令 。 


<H3C>display transceiver alarm interface GigabitEthernet 2/0/1 
GigabitEthernet2/0/1 transceiver current alarm information: 
RX power low 


RX loss of signal 


通过 上 面 命令 显示 ,设备 接口 收 光 过 低 , 可 能 是 由 于 对 端 光 模块 发 光 低 或 者 光纤 有 问题 。 
可 以 通过 查看 两 端 接口 光 功率 是 否 在 正常 范围 之 内 。 


本 端 可 以 看 到 收 光 功率 为 : 一 23. 98, 低 于 正常 范围 一 22. 08。 
[H3C]_hide 


[H3C-hidecmd]_distransceiver diagnosis interface GigabitEthernet 2/0/1 
GigabitEthernet2/0/1 transceiver diagnostic information: 


Current diagnostic parameters: 
Temp. (°C) Voltage( V) RX power(dBM) TX power(dBM) 
32 3.35 9.32 —23.98 —5.56 
Alarm thresholds: 


Bias(mA) 


Temp. (°C) Voltage(V) Bias(mA) RX power(dBM) TX power(dBM) 
High 73 3.60 40.83 =9.00 6.00 
Low 一 3 3.00 1.00 


一 22.08 一 12.50 


怀疑 对 端 发 光 低 ,因此 查看 对 端 发 光 功 率 ,发 现 对 端 发 光 低 。 


[H3C-hidecmd]_distransceiver diagnosis interface GigabitEthernet 1/0/10 
GigabitEthernet1/0/10 transceiver diagnostic information: 


Current diagnostic parameters: 

Temp. (°C) Voltage(V) Bias(mA) RX power(dBM) TX power(dBM) 
34 3.36 9.54 — 7.46 —14.06 
Alarm thresholds: 


Temp. (°C) Voltage(V) Bias(mA) 


RX power(dBM) TX power(dBM) 
High 73 3.60 41.64 —3.00 6.00 
Low 一 3 3.00 1.00 一 22.08 一 12.50 
(6) 替换 光纤 光 模 块 替换 测试 


通过 查看 两 端 光 功率 情况 ,如 果 本 端 收 光 低 , 对 端 发 光 低 , 那 么 更 换 对 端 光 模块 测试 ; 如 
果 本 端 收 光 低 , 对 端 发 光正 常 , 怀 疑 是 光纤 异常 ,更 换 光 纤 测 试 ,如 果 中 间 有 传输 设备 ,那么 也 
排查 一 下 传输 设备 是 否 有 问题 ; 如果 本 端 发 光 低 ,那么 更 换 本 端 光 模 块 测试 。 

(7) 替换 端口 测试 并 收集 信息 


如 果 更 换 了 光 模 块 光纤 测试 后 ,依旧 异常 ,那么 可 以 蔡 换 端口 进行 测试 ,然后 收集 诊断 信 
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息 及 如 下 信息 ,然后 拨打 400-810-0504 反馈 测试 结果 并 寻求 帮助 。 


[H3C] display transceiver interface 

[H3C] display transceiver alarm interface 

[H3C] display transceiver manuinfo interface 

[H3C] display transceiver diagnosis interface 
[H3C-hidecmd] display transceiver interface 
[H3C-hidecmd]_display transceiver diagnosis interface 


An a 


一 》 表 元 上 一 步 结果 王 昌 


-=--》 志 示 上 一步 结果 内 现 问 题 
x 
女 
检测 佚 电 设备 


与 受 电 耻 设备 之 间 
67 F 45 BE 5 


检测 | 受 电 耻 
设 第 佚 电 方式 


使 能 非 标准 
外 检测 | 功能 


拨打 热线 
400-310-0504 
寻 玉 部 助 


检测 设备 
故障 PoE 接口 的 
工作 状态 


使 用 FUL 模 式 
Hik APSE 
文件 
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05 交换 机 产品 5.1 高 端 产品 5.1.18 PoE 故障 排查 步骤 详解 


1. 开始 

定位 故障 的 思路 是 : 首先 检查 受 电 PD 设备 是 否 符合 设备 PoE 供电 要 求 , 再 检查 设备 
PoE 接口 供电 状态 ,最 后 根据 使 能 PoE 功能 时 的 报错 提示 ,收集 并 检查 相关 信息 分 析 。 

2. PoE 故障 排查 相关 操作 说 明 

(1) 检测 受 电 PD 设备 供电 方式 

检测 对 端 受 电 的 PD 设备 是 空闲 线 供 电 还 是 信号 线 供电 。 目 前 我 司 交换 机 设备 仅 支 持 信 
号 线 供电 方式 。 


信号 线 供电 模式 : PSE 使 用 3/5 类 双 绞 线 中 传输 数据 所 用 的 线 对 (1、2、3、6) 向 PD 传输 数据 的 同时 传 
输 直流 电 。 


空闲 线 供电 模式 : PSE 使 用 3/5 类 双 绞 线 中 没有 被 使 用 的 线 对 (4、5、7、8) 向 PD 来 传输 直流 电 。 


(2) 检测 供电 设备 与 受 电 PD 设备 之 间 的 网 线 距离 

建议 供电 设备 与 受 电 PD 设备 之 前 使 用 超 5 类 及 以 上 规格 的 双 绞 线 ,同时 距离 小 
于 100m, 

(3) 使 能 非 标准 PD 检测 功能 

PD 设备 分 为 标准 PD 和 非 标准 PD, 标 准 PD 是 指 符合 IEEE 802. 3af 标准 的 PD 设备 。 
默认 情况 下 ,我 司 设备 只 能 检测 到 标准 PD, 并 为 其 供电 。 只 有 在 我 司 设备 上 时 能 检测 非 标 准 
PD 功能 后 ,设备 才能 检测 到 非 标准 PD, 并 为 其 供电 。 

命令 : poe legacy enable pse pse-id 

例如 : 通过 命令 使 能 设备 非 标准 PD 检测 功能 。 


[H3C] poe legacy enable pse 10 


PSE ID 的 计算 方法 为 : 设备 的 成 员 编号 多 3 十 1, 例如 : 设备 的 成 员 编号 为 3, 其 PSE ID 为 3X3 十 1 
二 10 


(4) 检测 设备 故障 PoE 接口 的 工作 状态 

查看 PoE 接口 工作 状态 ,检测 是 否 由 于 PD 要 求 功率 过 大 或 供电 设备 剩余 功率 不 足 导致 
无 法 PoE 供电 。 

命令 : display poe interface GigabitEthernet inter face-number 


例如 : 通过 命令 查看 PoE 接口 工作 状态 。 


<H3C> display poe interface GigabitEthernet 1/0/1 


Port Power Enabled : enabled 
Port Power Priority : high 
Port Operating Status : on 


Port IEEE Class 20 
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Port Detection Status 
Port Power Mode 
Port Current Power 
Port Average Power 
Port Peak Power 
Port Max Power 
Port Current 
Port Voltage 


Port PD Description 


: delivering-power 


: signal 

: 3600 mW 
: 3662 mW 
: 3900 mW 
: 15400 mW 
1:71 mA 
50.9 V 


IP Phone For Room 101 


O Port Operating Status, 
° off: 供电 功能 禁用 。 
° on: 正在 正常 供电 。 


。 power-lack: PSE 剩余 保证 功率 不 够 ,导致 无 法 对 优先 级 为 Critical 的 PoE 接口 供电 。 


。 power-deny: 拒绝 供电 ,PD 要 求 功率 大 于 配置 功率 。 


。 power-itself: 外 接 设 备 正在 自己 供电 。 
° power-limit: 正在 受 限 供电 .PD 要 求 功率 大 于 配置 功率 ,PSE 仍 按 配置 功率 供电 。 


@ Port Detection Status, 


e disabled; PoE 接口 供电 禁止 。 
。 searching: 正在 搜索 PD. 
。 delivering-power: 正在 向 PD 供电 。 


。 fault: 错误 。 


° test; 测试 状态 。 


other-fault: 其 他 错误 状态 。 


。 pd-disconnect: PD 未 连接 。 
(5) 接口 使 能 PoE enable 是 否 提 示 错 误 
设备 接口 使 能 PoE enable 时 是 否 提 示 错 误 。 


[H3C]int Ethernet 1/0/1 


[H3C-Ethernet1/0/1]poe enable 
PoE is not supported on the port! 


(6) 使 用 FULL 模式 升级 设备 PSE 文件 


如 果 在 接口 上 使 能 PoE 功能 时 提示 错误 ,请 使 用 FULL 模式 升级 PSE 处 理 软件 。 


命令 : poe update full filename pse pseid 
例如 : 升级 S5120-EI 交换 机 PSE 处 理 软件 。 


[H3C] poe update full 00061204_0384_001_h3c.s19 pse 4 


This command will refresh firmware on the specific PSE(s), Continue? [Y/N]: y 
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System is downloading firmware into the hardware. Please wait ... 
Update success 


说 明 : 升级 所 需要 的 PSE 处 理 软件 请 联系 400 售后 获取 。 
(7) 采集 反馈 设备 相关 PoE 故障 信息 
如 果 接 口 使 能 PoE 功能 时 没有 提示 错误 ,请 收集 如 下 信息 后 ,反馈 给 400 售后 工程 师 。 


(1) 收集 故障 时 设备 上 PoE 状态 信息 。 
<H3C>dis power 
<H3C>dis poe device 
<H3C>dis poe pse 
<H3C>dis poe interface 和 dis poe int gx/x/x( 故 障 的 端口 和 正常 的 端口 都 收集 ) 
<=H3C> dis poe interface power 
<H3C> sys 
[H3C] en_diag 
[H3C-diagnose] debug poe dimm-status unit_id( 非 IRF 设备 默认 unit_id 为 1) 
[H3C-diagnose] debug poe port-power unit_id 
[H3C-diagnose] debug poe pse-info unit_id 
[H3C-diagnose] debug poe sys-status unit_id 


(2) 收集 故障 时 设备 的 诊断 信息 。 
<H3C>dis diag 


y k++- jt 
-==》 志 示 上 一 步 结果 出现 问题 


+* 


* 


* 


4 改 / 增 加 
AcL 规 内 | 


PBR A packet-filter 
功能 


拨打 热线 
400-310-0504 
EPEA 
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a sasa .1.19 高 端 交换 机 MOC 重 
05 交换 机 产品 S. fy 定向 不 生效 故障 排查 


1. 开始 

MGQC 重 定向 不 生效 问题 定位 故障 的 思路 是 : 先 查看 ACL 规则 是 否 匹配 了 流量 ,ACL W 
源 是 否 超 规格 ,之 后 查看 MQC 重 定向 下 一 跳 是 否 可 达 , 最 后 查看 是 否 配置 packet-filter/ 策 略 
路 由 等 功能 ,与 MQC 重 定向 冲突 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 ACL 规则 是 否 匹配 流量 

查看 ACL 规则 的 配置 ,确认 ACL 规则 匹配 了 流量 。 

命令 : display acl acl-number 


例如 : 通过 命令 确认 ACL 规则 是 否 匹配 了 需要 做 MQC 重 定向 的 流量 。 


<H3C>display acl 3000 
AdvancedACL 3000, named -none-, 2 rules, 
ACL's step is 5 
rule 0 permit ip source 10.0.0.0 0.0.0.255 
rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 100.0.0.0 0.0.0.255 


(2) 修改 /增加 ACL 规则 

若 通 过 display acl 命令 ,查看 规则 中 所 写 的 rule 规格 错误 , 则 需要 重新 下 发 rule 命令 , 修 
改 rule 规则 ,确保 rule 规则 匹配 到 流量 。 如 果 ACL 中 rule 规则 没有 匹配 所 需 做 MQC 重 定 
向 的 流量 , 则 需 新 增 rule 规则 匹配 该 流量 。 

命令 : rule 

例如 : ACL 规则 中 将 需要 做 MQC 重 定向 的 源 IP 为 20. 0. 0.0/24、 目 的 IP 为 200. 0. 0. 
0/24 的 流量 错误 写 为 源 IP 为 20. 0. 0. 0/24、 目 的 IP 为 100. 0. 0. 0/24 ,同时 漏 写 源 IP 为 30. 
0.0.0/24 的 流量 , 则 需 下 发 命令 更 正和 增加 ACL 规则 。 


[H3C-acl-adv-3000] rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 200.0.0.0 0.0.0.255 
Info: The rule id already exists, and the current operation is modifying the rule. 
[H3C-acl-adv-3000]rule 10 permit ip source 30.0.0.0 0.0.0.255 

[H3C-acl-adv-3000] display this 

# 
acl number 3000 

rule 0 permit ip source 10.0.0.0 0.0.0.255 

rule 5 permit ip source 20.0.0.0 0.0.0.255 destination 200.0.0.0 0.0.0.255 

rule 10 permit ip source 30.0.0.0 0.0.0.255 


return 
[H3C-acl-adv-3000] 


(3) 检查 ACL 资源 是 否 超 规格 

查看 单 板 ACL 资源 利用 情况 ,判断 ACL 资源 是 否 已 被 耗 尽 ,导致 下 发 的 ACL 规则 实际 
没有 生效 。 

V5 平 台 命 令 : display acl resource 


V7 平台 命令 : dis qos-acl resource 
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例如 : 通过 下 发 命令 查看 ,各 个 槽 位 单 板 ACL 资源 利用 情况 。 
DV5: 


<H3C>display acl resource 
Interface: 
GE2/0/1 to GE2/0/24 


Type Total Reserved Configured Remaining Usage 
ACL rule 2048 0 1978 70 96% 
Inbound ACL 2048 0 1978 70 96% 
OutboundACL 0048 0 70 0% 

Interface: 


XGE3/0/1 to XGE3/0/2 


Type Total Reserved Configured Remaining Usage 
ACL rule 8192 96 3 8093 1% 
Inbound ACL 8192 96 3 8093 1% 
OutboundACL 8192 0 0 8093 0% 
Interface: 


XGE3/0/3 to XGE3/0/4 


Type Total Reserved Configured Remaining Usage 

ACL rule 8192 96 3 8093 1% 

Inbound ACL 8192 96 3 8093 1% 

OutboundACL 8192 0 0 8093 0% 
© V7. 


[H3C]dis qos-acl resource slot 2 
Interfaces: GE2/0/1 to GE2/0/24 


Type Total Reserved Configured Remaining Usage 
ACL rule 8192 96 6 8090 1% 
Inbound ACL 8192 96 5 8090 1% 
Outbound ACL 8192 0 1 8090 0% 
IN-MQC-CAR 8192 0 0 8192 0% 
IN-COMM-CAR 7168 0 0 7168 0% 
IN-COUNT 8192 0 64 8128 0% 
OUT-MQC-CAR 8192 0 64 8128 0% 
OUT-COUNT 8192 0 64 8128 0% 


ACL 资源 是 按 芯 片 划分 的 ,并 且 Inbound/Outbound 方向 共用 芯片 ACL 资源 。 通 过 
display acl resource 命令 可 以 看 到 所 有 槽 位 芯片 ACL 资源 的 利用 情况 ,如 上 V5 所 示 ,2 槽 位 
单 板 的 GE2/0/1 至 GE2/0/24 属于 同一 个 芯片 ,2048 的 ACL 资源 由 这 24 个 接口 共用 。 从 示 
例 中 看 到 2 槽 位 单 板 2048 的 ACL 资源 已 利用 了 96% ,已 接近 ACL 资源 耗 尽 ,会 导致 涉及 
ACL 下 发 的 功能 正常 应 用 ,包括 MQC 重 定向 的 使 用 。 而 3 槽 位 的 XG3/0/1 和 XG3/0/2 属 
于 同一 个 芯片 ,共用 8192 的 ACL 资源 ,当前 ACL 资源 利用 率 为 1% ,ACL 资源 充足 。XG3/ 
0/3 和 XG3/0/4 类 似 。V7 平台 的 情况 一 样 。 
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(4) 检查 MQC 重 定向 下 一 跳 是 否 可 达 
检查 MQC 重 定向 配置 中 下 一 跳 是 否 可 达 , 如 查看 接口 状态 .ARP 表 项 、 路 由 表 或 ping 
测试 。 
MS: display inter face interface-type interface-number 
display arp x.x. x.x 
displayip routing-table x.x. x.x 
PIR £ S. 2; = 
例如 : MQC 重 定向 下 一 跳 配置 为 100. 0. 0. 2, 通 过 查看 接口 状态 .ARP 表 项 、 路 由 表 或 
ping 测试 确定 MQC 重 定向 下 一 跳 是 否 可 达 。 


<H3C>display interface GigabitEthernet 2/0/1 
GigabitEthernet2/0/1 current state: Up 


<H3C>displayarp 100.0.0.2 

Type: S-Static D-Dynamic A-Authorized M-Multiport 
IP Address MAC Address VLANID Interface Aging Type 
100.0.0.2 0023-8911-7400 100 GE2/0/1 N/A D 


<H3C> display ip routing-table 100.0.0.2 
RoutingTable : Public 
SummaryCount : 1 


Destination/Mask Proto Pre Cost NextHop Interface 
100.0.0.0/24 Direct 0 0 100.0.0.1 Vlan100 


<H3C>ping 100.0.0.2 
PING 100.0.0.2:56 data bytes, press CTRL_C to break 
Reply from 100.0.0.2: bytes=56 Sequence=0ttl=255 time=1 ms 
Reply from 100.0.0.2: bytes=56 Sequence=1ttl=255 time=1 ms 
Reply from 100.0.0.2: bytes=56 Sequence 一 2ttl 一 255 time=1 ms 
Reply from 100.0.0.2: bytes=56 Sequence=3ttl=255 time=2 ms 
Reply from 100.0.0.2: bytes=56 Sequence 一 4ttl 一 255 time=1 ms 


--- 100.0.0.2ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/2 ms 


(5) 排查 下 一 跳 不 可 达 原 因 

MQC 重 定向 下 一 跳 不 可 达 , 需 要 排查 ARP、STP ORA 

(6) 检查 设备 是 否 配置 了 packet-filter/ 策 略 路 由 等 功能 

当 设备 在 相关 视图 下 配置 了 packet-filter 或 策略 路 由 功能 ,由 于 packet-filter 和 策略 路 由 
的 优先 级 比 MQC 重 定向 高 ,因而 MQC 重 定向 下 发 不 生效 。 需 要 结合 所 需 做 MQC 重 定向 的 
流量 ACL 规则 ,对 配置 进行 排查 。 

命令 : display packet- filter 

display policy-based-route tesc 
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例如 : acl number 3000 匹配 了 所 需 做 MQC 重 定向 的 流量 ,同时 在 设备 上 下 发 了 packet- 
filter/ 策 略 路 由 功能 。packet-filter 可 以 在 二 /三 层 物理 接口 及 三 层 虚 接口 上 下 发 ,设备 上 可 
以 配置 本 地 策略 路 由 和 接口 策略 路 由 , 均 需 要 排查 。 需 注意 ,如 下 示例 中 ,acl number 3000 同 
时 作为 MQC 重 定向 、packet-filter、 策 略 路 由 的 感 兴趣 流量 匹配 条 件 ,并 且 实 际 现 网 中 可 能 存 
在 不 同 ACL, 但 是 规则 匹配 相同 的 流量 做 packet-filter/ 策 略 路 由 ,也 会 造成 MQC 重 定向 不 生 
效 ,因此 需要 排查 不 同 的 ACL 中 是 否 有 相同 的 rule 规则 。 

说 明 : 设备 的 软件 版 本 为 S12500-CMW520-R1335/S9500E-CMW520-R1335 之 前 的 版 
本 ,QoS 策略 的 优先 级 高 于 策略 路 由 ,不 涉及 策略 路 由 功能 部 分 的 排查 。 而 设备 的 软件 版 本 
为 S12500-CMW520-R1335/S9500E-CMW520-R1335 及 之 后 的 版 本 ,QoS 策略 的 优先 级 低 于 
策略 路 由 ,涉及 策略 路 由 功能 部 分 的 排查 。 


[H3C] dis packet-filter all 
Interface: Vlan-interface100 
In-bound Policy: 
acl 3000, Successful 
Out-bound Policy: 
[H3C-Vlan-interface100]display this 
# 
interface Vlan-interface100 
ip address 100.0.0.1 255.255.255.0 
packet-filter 3000 inbound 
# 
return 
# 
traffic classifier test operator and 
if-match acl 3000 
# 
traffic behavior test 
redirect next-hop 100.0.0.2 fail-action forward 
# 
qos policy test 
classifier test behavior test 
# 
[H3C]dis policy-based-route 
Policy based routing configuration information: 
policy-based-route : test 
Node 1permit : 
if-match acl 3000 
apply ip-address next-hop 100.0.0.2 


[H3C]interface Vlan-interface 10 
[H3C-Vlan-interface10] display this 
# 
interface Vlan-interface10 
ip address 10.0.0.1 255.255.255.0 
ip policy-based-route test 
# 
return 
# 
ip local policy-based-route test 
# 
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[H3C-GigabitEthernet2/0/1]dis this 
# 
interface GigabitEthernet2/0/1 

port link-mode bridge 

port link-type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 100 

qos apply policy test inbound 


(7) 修改 配置 

通过 上 一 步 的 排查 发 现 MQC 重 定向 与 packet-filter/ 策 略 路 由 同时 下 发 ,导致 MQC E 
向 不 生效 , 需 修改 配置 。 

O MGQC 重 定向 与 packet-filter 同时 下 发 的 情况 。 包 过 滤 下 发 在 Inbound 方向 时 ,将 导致 
MQC 重 定向 感 兴趣 的 流量 在 执行 MQC 重 定向 动作 之 前 被 过 滤 掉 。 包 过 滤 下 发 在 Outbound 
方向 时 ,将 导致 MQC 重 定 向 动作 执行 完 后 , 报 文 被 过 滤 掉 , 流 量 仍 无 法 按 MQC 重 定向 需求 
转发 出 去 。 在 上 述 两 种 情况 下 , 均 需 要 在 packet-filter 的 ACL 规则 中 ,将 需要 正常 转发 的 流 
Ht rule 规则 去 掉 。 

@ MQC 重 定向 与 策略 路 由 同时 下 发 的 情况 。MQC 重 定向 感 兴趣 的 流量 先 由 策略 路 由 
匹配 后 处 理 了 。 该 种 情况 下 , 需 重新 了 解 和 细 化 需求 ,是 否 可 以 通过 细 化 MQC 重 定向 ACL 
规则 和 策略 路 由 ACL 规则 ,使 两 个 ACL 规则 不 冲突 ,流量 能 区 分 出 来 按 不 同 的 功能 执行 
动作 。 

说 明 : 设备 的 软件 版 本 为 S12500-CMW520-R1335/S9500E-CMW520-R1335 之 前 的 版 
本 ,QoS 策略 的 优先 级 高 于 策略 路 由 ,不 涉及 策略 路 由 功能 部 分 的 排查 。 而 设备 的 软件 版 本 
为 S12500-CMW520-R1335/S9500E-CMW520-R1335 及 之 后 的 版 本 ,QoS 策略 的 优先 级 低 于 
策略 路 由 ,涉及 策略 路 由 功能 部 分 的 排查 。 

(8) 收集 信息 

做 了 以 上 操作 ,还 不 能 解决 问题 ,请 收集 诊断 信息 .日志 信息 .诊断 日 志 ,然后 拨打 
400-810-0504 热线 寻求 帮助 。 


5.1.20 中 低 端 交换 机 (V5) 
等 价 路 由 出 口 流量 
负载 不 均 故 障 排查 


中 低 兹 交 所 机 (v5 绍 价 路 由 出 口 流量 负载 不 均 故 障 排查 


— 志 示 上 一 步 结果 正名 


确 吕 LSp 分 担 秋 上 
+T ËB e b nk. A 
LS 负载 分 担 数目 


将 上 下 级 设备 的 判 吕 是 百 为 设 
hashi] + Fë Jr 备 刘 二 次 hash 


拨打 热线 
400-310-0504 
EPES 
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5.1.20 中 低 端 交换 机 (V5) 
等 价 路 由 出 口 流 量 
负载 不 均 故 障 排查 


1. 开始 

负载 不 均 问 题 的 主要 排查 思路 如 下 。 

O 判定 设备 是 否 为 PE 设备 的 等 价 路 由 出 口 。 查 看 隧道 策略 的 情况 。 开 启 隧 道 策略 , 调 
整 LSP 负载 分 担 数 目 。 

@ 判定 流量 出 口 是 否 分 步 在 IRF 系统 的 不 同 框 上 ; 若是 链 路 聚合 则 关闭 聚合 组 的 本 地 
优先 转发 观察 ,若是 ECMP 分 担 不 均匀 ,调整 流量 进入 IRF 系统 时 就 分 布 到 不 同 框 上 。 

@ 判定 是 否 为 设备 间 二 次 hash 情况 ,调整 上 下 级 设备 的 hash 因子 错开 。 

@ 判定 是 否 为 本 设备 的 二 次 hash, 尝 试 升级 或 者 直接 联系 400 寻求 帮助 。 

@ 判定 只 是 普通 的 等 价 路 由 或 者 链 路 聚合 ,调整 hash 因子 观察 效果 。 

© 如 果 调 整 后 效果 不 好 ,通过 抓 包 确定 是 否 是 由 于 现 网 流量 自身 特点 导致 的 分 担 不 均 。 

© 上 面 的 所 有 步骤 都 做 了 ,依旧 没有 效果 ,收集 信息 并 联系 400 寻求 帮助 。 

2. 流程 图 相关 操作 说 明 

(1) 判定 设备 是 否 为 PE 设备 的 等 价 路 由 出 口 

在 这 种 组 网 下 ,现场 情况 如 下 。 

可 以 看 到 私 网 路 由 已 经 等 价 。 


<H3C> display ip routing-table vpn-instance unicom 119.34.128.0 
Routing Tables:Unicom Destinations : 1019 Routes : 1998 


Destination/ Mask Proto Pre Cost NextHop Interface 
119.34.128.0/21 BGP 255 © 172.22.1.250 NULLO 
BGP 255 0 172.22.1.250 NULLO 


但 是 查看 设备 转发 表 里 面 ,这 条 路 由 却 并 没有 形成 等 价 。 


< H3C> dis fibvpn-instance unicom 
Destination/Mask Nexthop Flag OutInterface InnerLabel Token 
119.34.128.0/21 172.22.1.250 UDG NULLO 2087 2161 


查看 到 目的 地 址 的 标签 转发 表 也 只 有 一 个 ,因此 流量 不 能 负载 均衡 。 


<H3C>display mpls nhlfe 

Total NHLFE Entry: 60 

Out-Interface Token Oper Nexthop Deep Stack 
XGE8/0/1 2161 PUSH 172.22.0.229 1 1963 


(2) 开启 隧道 策略 ,调整 LSP 负载 分 担 数 目 
交换 机 作为 PE 双 上 行 的 组 网 , 若 希 望 实现 双 上 行 ECMP 负载 分 担 ,需要 同步 开启 隧道 策 
略 ,调整 LSP 负载 分 担 数目 ,才能 实现 负载 分 担 。 默 认 情 况 下 未 使 能 MPLS LSP 等 价 ,如 果 
存在 多 条 LSP, 则 优选 先 建立 的 LSP, 但 可 通过 配置 tunnel-policy 来 实现 LSP 的 等 价 。 
[H3C]tunnel-policy 1 
[H3C-tunnel-policy-1]tunnel select-seq Isp load-balance-number 2 


[H3C]ip vpn-instance 1 
[H3C-vpn-instance-1]tnl-policy 1 
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(3) 判定 流量 出 口 是 否 分 步 在 IRF 系统 的 不 同 框 上 

如 果 确 定 现场 不 是 PE 的 等 价 路 由 设备 ,那么 确定 现场 是 否 为 IRF 系统 ,流量 出 口 是 否 分 
担 到 IRF 系统 的 不 同 框 上 的 出 口 。 由 于 中 低 端 交换 机 具有 本 地 优先 转发 的 情况 ,从 本 框 进入 
的 流量 ,如 果 本 框 有 出 口 ,不 管 出 口 是 链 路 聚合 出 口 或 者 ECMP 出 口 ,都 默认 只 会 从 本 框 优先 
转发 ,不 会 跨 框 转发 。 因 此 在 这 种 情况 下 会 出 现 出 口 流量 不 均 的 情况 。 

(4) 链 路 聚合 负载 分 担 不 均匀 

确认 是 否 是 链 路 聚合 分 担 不 均匀 。 

(5) 关闭 LACP 本 地 优先 转发 

关闭 链 路 聚合 的 本 地 优先 转发 。 


<H3C>system-view 
[H3C]undo link-aggregation load-sharing mode local-first 


(6) ECMP 负载 分 担 不 均匀 

确认 是 否 是 ECMP 分 担 不 均匀 。 

(7) 让 进入 IRF 系统 的 流量 分 布 到 不 同 框 上 

只 有 在 进入 IRF 系统 之 前 调整 流量 走向 ,让 流量 分 担 到 不 同 的 框 上 转发 。 

(8) 判定 是 否 为 设备 间 二 次 hash 

设备 间 的 二 次 hash, 指 的 是 在 上 级 设备 进行 了 ECMP 或 者 链 路 聚合 后 到 达 本 设备 ,在 设 
备 再 进行 一 次 ECMP 或 者 链 路 聚合 。 如 图 5-6 所 示 情 况 , 有 两 个 等 价 路 由 链 路 出 口 ,VOD3 
到 目的 网 段 有 两 条 等 价 路 由 ,下 一 跳 分 别 为 VOD1 和 VOD. Æ VODI 和 VOD2 到 目的 网 段 
分 别 也 有 两 个 等 价 路 由 ,下 一 跳 分 别 是 A 和 B,VOD4 和 VOD2 也 是 相同 情况 。 在 VODI 和 
VOD2 上 面 流量 始终 只 走 了 其 中 一 条 ECMP 链 路 ,另外 一 条 链 路 流量 很 少 或 者 基本 上 没有 
流量 。 


> 


S 


T 


图 5-6 设备 间 二 次 hash 


在 第 一 台 设 备 进行 过 一 次 hash 后 , 某 些 流 被 发 到 了 VOD1, 其 他 流 被 发 到 了 VOD2; 到 了 
VODI 设备 以 后 由 于 VODI 设备 和 VOD3 设备 用 的 是 同样 的 hash key, 那 么 会 出 现 某 些 hash 
因子 偏 少 , 某 些 hash 因子 偏 多 的 情况 ,也 就 是 从 VOD1 和 VOD 设备 出 去 的 流量 会 非常 不 均匀 。 

(9) 将 上 下 级 设备 的 hash 因子 错开 

可 通过 将 两 级 设备 hash key 错开 的 方法 来 解决 ,例如 第 一 级 使 用 源 地 址 、 源 端口 ,第 二 级 
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使 用 目的 地 址 、 目 的 端口 等 。 


VOD3/VOD4: link-aggregation load-sharing mode source-ip source-port destination-ip destination-port 
VOD1/ VOD2: link-aggregation load-sharing mode source-ip destination-ip 
(10) 调整 负载 分 担 类 型 
判断 到 这 一 步 ,已 经 可 以 确定 为 普通 的 等 价 路 申 出 口 或 链 路 聚合 出 口 。 等 价 路 由 和 链 路 
聚合 负载 分 担 和 两 个 因素 有 关 : 设备 配置 的 负载 分 担 类 型 ; 现 网 流量 本 身 的 变化 情况 。 

V5 设备 上 没有 命令 专门 修改 ECMP 的 hash 因此 ,可 以 配置 全 局 的 LACP 负载 分 担 类 型 
为 源 IP、 目 的 人 P,\ 源 端口 、 目 的 端口 来 使 四 层 端口 号 来 参与 ECMP 的 链 路 分 担 。 
解决 方法 : 尝试 调整 设备 的 负载 分 担 类 型 。 


link-aggregation load-sharing mode { destination-ip | destination-mac | destination-port | ingress-port | 
source-ip | source-mac | source-port ) 关 
(11) 抓 包 分 析 流 量 特点 
如 果 试 了 各 种 负载 分 担 类 型 还 是 分 担 不 均 ,那么 说 明 流 量 本 身 是 不 均匀 的 ,建议 抓 包 分 析 
流量 是 现 网 流量 自身 特点 导致 的 分 担 不 均 ,如 果 本 身 某 类 流量 就 很 多 ,hash 后 该 流量 还 是 始 
终 会 hash 到 相同 链 路 ,所 以 这 种 情况 下 需要 分 析 扩 容 是 否 可 以 对 分 担 不 均 有 改善 。 

如 果 流 量 模型 没有 某 类 流量 大 的 情况 ,可 直接 收集 设备 信息 再 拨打 热线 400-810-0504 寻 
求 帮助 。 


mo 
是 否 转发 慢 


拨打 热线 
400-310-0504 2 > FE S 
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Z= Hs n = a 3 e 5.2.1 无 管理 交换 机 转发 
05 交换 机 产品 T 


1. 开始 
SMB 无 管理 交换 机 涵盖 : S1000 # $| .S1200 系列 .S132(4) S1324F。 
定位 故障 的 思路 是 : 设备 是 否 存 在 硬件 故障 ,设备 在 网 络 中 协商 的 端口 状态 是 否 正常 , 设 
备 流 控 是 否 引 起 网 络 应 用 问题 。 
2. 流程 图 相关 操作 说 明 
(1) 查看 端口 指示 灯 状 态 
(D 端口 指示 灯 不 插 网 线 常 亮 ,设备 故障 。 
@ 端口 接 网 线 ,端口 指示 灯 不 亮 ,可 重新 插 拔 端口 测试 .更换 网 线 测 试 , 更 换 下 连 终端 (如 
PC) 测 试 , 如 果 均 无 效果 ,设备 故障 。 
@ 所 有 接 网 线 的 端口 指示 灯 规 律 性 快 闪烁 ,查看 是 否 存在 环 路 ,建议 逐 台 插 拔 网 线 测试 。 
@ 所 有 接 网 线 的 端口 指示 灯 同 步 交 蔡 闪烁 ,设备 故障 。 
© 所 有 接 网 线 的 端口 指示 灯 只 亮 不 闪 ,建议 拔 掉 其 他 端口 网 线 ,单独 测试 端口 互通 性 , 取 
两 台 PC 配置 同 网 段 地 址 互 ping, 能 否 ping 通 (关闭 防火 墙 等 干扰 设置 ) ,若是 不 能 ping 通 , 设 
备 故 障 。 
(2) 检查 端口 间 互 通 性 
O 若 无 管 理 交 换 机 端口 之 间 不 通 , 建 议 拔 掉 其 他 端口 网 线 ,单独 测试 端口 互通 性 , 取 两 台 
PC 配置 同 网 段 地 址 , 接 在 交换 机 连接 PC 的 端口 和 连接 上 层 设备 的 端口 互 ping, 观 察 是 否 能 
正常 学 习 对 端的 ARP 信息 ,能 否 ping 通 对 端 IP 地 址 , 若 不 能 ping 通 , 设 备 故障 。 
© 若 上 述 两 端口 之 间 互 通 , 但 是 和 上 层 设 备 不 通 ,建议 排查 上 层 设 备 故障 。 
(3) 检查 端口 是 否 转发 慢 
如 果 转 发 速率 低 于 常规 速率 ,建议 继续 排查 端口 问题 。 如 果 转 发 速率 正常 ,建议 求助 呼叫 
中 心 


一 般 性 能 的 百 兆 网 卡 ,传输 (以 FTP 传输 为 例 ) 速 率 如 图 5-7 所 示 。 


< 


30:01:23 


360,342,528 = 


5-7 百 兆 网 卡 传输 速率 


一 般 性 能 的 千 兆 网 卡 ,传输 (以 FTP 传输 为 例 ) 速 率 如 图 5-8 所 示 。 

如 果 传 输 时 ,速率 低 于 此 平均 值 ,建议 排查 传输 慢 问题 。 

(4) 检查 端口 协商 状态 

检查 交换 机 端口 指示 灯 是 否 工作 在 正确 状态 ,如 果 显 示 状 态 有 误 ,可 尝试 更 换 网 线 、 更 换 
端口 测试 ,如 更 换 端口 解决 , 则 设备 故障 。 

无 管理 交换 机 端口 指示 灯 常 态 如 表 5-9 所 示 。 
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图 5-8 千 兆 网 卡 传输 速率 


表 5-9 无 管理 交换 机 端口 指示 灯 常 态 


端 口 


指 示 灯 


全 千 兆 交换 机 


Link/Act 


绿灯 : 端口 工作 在 1000Mbps 


黄 灯 : 端口 工作 在 10/100Mbps 


K: 以 太 网 链 路 未 建立 


全 千 兆 交换 机 


Link/Act 


绿灯 : 以 太 网 链 路 已 建立 


绿灯 闪烁 : 端口 在 收 \ 发 数据 


K: 以 太 网 链 路 未 建立 


Speed 


绿灯 : 端口 工作 在 1000Mbps 


黄 灯 : 端口 工作 在 10/100Mbps 


灭 : 以 太 网 链 路 未 建立 


千 光 上行 交换 机 


Link/Act 


绿灯 : 千 兆 端口 工作 在 1000Mbps 
百 兆 端口 工作 在 10/100Mbps 


黄 灯 : 千 兆 端口 工作 在 10/100Mbps 


灭 : 以 太 网 链 路 未 建立 


千 光 上行 交换 机 


Link/Act 


绿灯 : 以 太 网 链 路 已 建立 


绿灯 闪烁 : 端口 在 收 、 发 数据 


灭 : 以 太 网 链 路 未 建立 


Speed 


绿灯 : 千 兆 端口 工作 在 1000Mbps 
百 兆 端口 工作 在 10/100Mbps 


灭 : 千 兆 端口 工作 在 10/100Mbps 
百 兆 端口 工作 在 10Mbps 
以 太 网 链 路 未 建立 


千 兆 上 行 交 换 机 ( 含 combo H) 


Link/Act 


绿灯 : 以 太 网 链 路 已 建立 


绿灯 闪烁 : 端口 在 收 ` 发 数据 


K: 以 太 网 链 路 未 建立 


Speed 


绿灯 : 千 兆 端口 工作 在 1000Mbps 
百 兆 端口 工作 在 100Mbps 
千 兆 combo 口 工 作 在 1000Mbps 


灭 : 千 兆 端口 工作 在 10/100Mbps 
百 兆 端口 工作 在 10Mbps 
FJK combo H Down 
以 太 网 链 路 未 建立 


百 兆 交换 机 


Link/Act 


绿灯 : 端口 工作 在 10/100Mbps 


灭 : 以 太 网 链 路 未 建立 
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(5) 开启 硬件 流 控 


将 有 硬件 流 控 的 设备 流 控 开启 (部 分 交换 机 存在 可 控 的 硬件 流 控 ; 部 分 交换 机 固定 流 控 
关闭 ; 部 分 交换 机 固定 流 控 开启 ) ,将 开关 拨 到 “ON” 时 表明 流 控 启用 , 拨 到 “OFF” 时 表明 流 控 
关闭 ,如 图 5-9 所 示 。 


| 


k = 


图 5-9 硬件 流 控 开 关 

说 明 : 改变 流 控 开关 状态 后 , 需 重 启 交换 机 使 设置 生效 。 

(6) 检查 PC 网 卡 参数 

D 配合 软件 (如 网 络 克隆 软件 .无 盘 操 作 系统 、 多 媒体 网 络 教 学 软件 .文件 同步 传输 软件 ) 
使 用 时 ,可 将 服务 器 的 网 卡 强 制 成 百 兆 全 双 工 (一 般 服务 器 网 卡 使 用 都 是 千 兆 ) ,网 卡 有 流 控 设 
置 项 的 也 将 流 控 开启 。 

@ 在 多 媒体 教学 软件 的 使 用 中 ,还 需要 关闭 传输 网 络 中 不 工作 的 PC 的 远程 唤醒 功能 , 常 
见 网 卡 的 远程 唤醒 功能 关闭 方法 如 图 5-10 和 图 5-11 所 示 。 
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图 5-10 网 卡 型 号 是 Intel, 远 程 唤醒 方式 设置 图 5-11 网 卡 型 号 是 Realtek ,远程 唤醒 方式 设置 
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05 交换 机 产品 5.2.2 AGMP 管理 类 故障 排查 S R 


1. 开始 


AGMP(Aolynk Group Management Protocol, Aolynk 组 管理 协议 ) 是 由 H3C 定义 的 基 
于 链 路 层 的 局 域 网 交换 机 管理 协议 。 通 过 该 协议 可 以 远程 管理 局 域 网 内 的 H3C S1500E 系列 
楼 道 交 换 机 。 定 位 故障 的 思路 是 : 先 检查 设备 端口 连接 情况 ,再 查看 管理 方式 由 ONU 管理 
还 是 PC 端 AGMP 软件 管理 ,最 后 排查 中 间 网 络 问题 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 端口 连接 

查看 楼 道 交换 机 运行 AGMP 的 端口 是 否 连接 正确 。 

S1516E/S1516E-AC60 使 用 Uplink 口 (端口 16) 连 接 上 层 设备 ; S1524E 使 用 Uplink 口 
(端口 24) 连 接 上 层 设备 。 

运行 AGMP 协议 的 设备 想 管 理 下 层 S1500E 系列 交换 机 时 , 须 与 下 层 S1500E 系列 交换 
机 的 第 一 个 端口 或 最 后 一 个 端口 相连 , 且 最 后 一 个 端口 为 上 行 口 。 

(2) 查看 是 否 由 ONU AGMP 管理 

ONU 的 以 太 网 口 通过 网 线 连接 S1500E 系列 交换 机 的 Uplink 口 , 在 ONU 的 Web 设置 
页 面 上 通过 AGMP 对 交换 机 进行 管理 。 

(3) 检查 ONU 软件 版 本 

管理 S1500E 系列 交换 机 的 ONU 建议 升级 软件 至 最 新 版 本 。 

ONU 各 软件 版 本 AGMP 相关 问题 列表 如 表 5-10 所 示 。 


表 5-10 ONU 各 软件 版 本 AGMP 相关 问题 


ONU 型 号 |H 间 题 产生 条 件 问题 现象 
同时 用 ET716 和 AGMP 管理 软件 
ET716/ET724 | 102 对 S1516E 交换 机 进行 管理 S1516E 交换 机 出 错 
OLT 与 ET716/ET724 进行 连接 ， 
ET716/ET724 下 连接 多 台 S1516E/ | 无 法 使 用 AGMP 管理 软件 对 S1516E/S1524E 
PT0167ET722 "103 S1524E 交换 机 ,管理 PC 与 OLT 相 | 交换 机 进行 管理 
连接 
ET716/ET724 连接 指示 灯 位 于 端 | 、 
ET716/ET724 | 103 口 右 侧 的 S1516E/S1524E 交换 机 通过 ONU 无 法 管理 交换 机 
ET254-L ios AAT 页 执行 AGMP 管理 S1516E 无 法 通过 AGMP 功能 有 效 的 管理 S1516E 
ET254-L 105 | 使 用 硬件 版 本 为 “BC” 的 新 S1516E | 通过 ONU 无 法 管理 交换 机 
在 AGMP 管理 软件 中 修改 端口 模式 为 
ET254-L it 用 AGMP 管理 软件 和 ET254-L 同 | Tagged, 查看 也 是 Tagged, 但 是 此 时 通过 
时 管理 S1516E ET254-L 读 取 的 VLAN 配置 信息 ,端口 模式 
仍然 为 Transparent 
ET254-L 连接 指示 灯 位 于 端口 右 侧 | 、 
ERORAS 111 | 的 S1516E/S1524E 交换 机 T ONU AER is 
使 用 117 版 本 之 前 的 ET254-L 管理 | 一， 
ET254-L 117 | 指示 灯 位 于 端口 右 侧 的 S1516E/ | 指示 灯 位 于 端口 右 侧 的 S1516E/S1524E 交换 


S1524E 交换 机 


机 VLAN 混乱 ,数据 转发 不 正确 
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更 详细 的 问题 列表 ,请 查看 对 应 设备 最 新 的 软件 版 本 说 明 书 。 

(4) 查看 是 否 由 PC 直 连 管理 

管理 PC 通过 网 线 连接 S1500E 系列 交换 机 的 Uplink H ,运行 AGMP 管理 软件 对 交换 机 
进行 管理 。 

(5) 检查 AGMP/WinPcap 软件 版 本 

车 当前 管理 设备 的 AGMP 软件 不 是 R014 及 以 后 版 本 ,请 联系 呼叫 中 心 获 取 最 新 的 管理 
软件 。 

AGMP 管理 软件 是 基于 WinPcap 运行 ,建议 WinPcap 软件 为 3. 0 或 以 上 版 本 , 若 
WinPcap 软件 版 本 过 低 可 能 会 导致 管理 不 到 设备 或 其 他 异常 情况 。 

(6) 检查 管理 PC 设置 

D 若 本 地 管理 PC 上 运行 了 相关 安全 软件 ,例如 Symantec 等 杀毒 软件 ,可 能 会 影响 
AGMP 管理 软件 的 使 用 ,在 使 用 AGMP 管理 软件 前 ,请 先 禁 用 此 类 软件 ,然后 再 对 设备 进行 
管理 。 

@ 管理 PC 的 差异 性 也 可 能 会 影响 AGMP 管理 软件 的 使 用 ,所 以 ,在 相同 环境 下 可 以 学 
试 蔡 换 管理 PC 来 判断 是 由 于 PC 还 是 其 他 原因 导致 设备 无 法 管理 。 

(7) 检查 中 间 网 络 

D 检查 AGMP 管理 报 文 经 过 的 中 间 网 络 设备 相关 端口 上 是 否 已 允许 管理 VLAN 通过 。 
若 网 络 中 存在 指示 灯 位 于 端口 左 侧 的 S1500E 系列 交换 机 ,请 检查 管理 PC 是 否 属于 VLAN 
1319 ,并 且 中 间 网 络 设备 相关 端口 上 是 否 已 允许 VLAN 1319 通过 。 

@ 检查 AGMP 管理 报 文 经 过 的 中 间 网 络 设备 相关 端口 上 是 否 开 启 了 广播 风暴 抑制 功 
能 , 若 开 启 ,可 尝试 关闭 该 功能 。 

@ 检查 当前 所 管理 的 设备 是 否 处 在 一 个 大 二 层 ,建议 通过 划分 管理 VLAN, 将 一 个 
VLAN 内 的 设备 数量 控制 在 1000 以 内 ,每 个 VLAN 单独 建立 一 个 数据 库 文件 进行 管理 。 
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SMB 交换 机 涵盖 以 下 系列 。 

D 无 管理 交换 机 : S1000 系列 交换 机 、S1200 系列 交换 机 、S1300 系列 交换 机 。 

© 可 管理 交换 机 : S1500 系列 交换 机 、S1600 系列 交换 机 、S2100 系列 交换 机 、S5000P 系 
列 交换 机 、S5000E 系列 交换 机 。 

SMB 交换 机 一 般 做 接 人 交换 机 ,排查 掉 线 的 问题 从 单 台 设 备 人 手 。 所 以 故障 定位 的 思路 
E: 先 检查 交换 机 的 端口 指示 灯 状 态 , 再 检查 交换 机 是 否 学 习 到 终端 的 MAC 地 址 信息 ,最 后 
判断 是 否 设备 异常 导致 的 掉 线 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 端口 指示 灯 状 态 

D SMB 交换 机 正常 运行 时 ,交换 机 的 状态 指示 灯 如 表 5-11 所 示 。 

表 5-11 交换 机 状态 指示 灯 


类 型 端口 指 示 灯 
绿灯 : 端口 工作 在 1000Mbps 
全 千 兆 交换 机 Link/Act 黄 灯 : 端口 工作 在 10/100Mbps 


K: 以 太 网 链 路 未 建立 

绿灯 : 以 太 网 链 路 已 建立 

Link/Act 绿灯 闪烁 : 端口 在 收 、 发 数据 

灭 : 以 太 网 链 路 未 建立 

绿灯 : 端口 工作 在 1000Mbps 

Speed 黄 灯 : 端口 工作 在 10/100Mbps 

K: 以 太 网 链 路 未 建立 

绿灯 : 千 兆 端口 工作 在 1000Mbps 
百 兆 端口 工作 在 10/100Mbps 

黄 灯 : 千 兆 端口 工作 在 10/100Mbps 

灭 : 以 太 网 链 路 未 建立 

绿灯 : 以 太 网 链 路 已 建立 

Link/Act 绿灯 闪烁 : 端口 在 收发 数据 

灭 : 以 太 网 链 路 未 建立 

绿灯 : 千 兆 端口 工作 在 1000Mbps 
百 兆 端口 工作 在 10/100Mbps 

Speed 灭 : 千 兆 端口 工作 在 10/100Mbps 

百 兆 端口 工作 在 10Mbps 

以 太 网 链 路 未 建立 


全 千 兆 交换 机 


千 兆 上 行 交 换 机 Link/Act 


千 兆 上 行 交 换 机 
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续 表 
类 — 3 端口 指 示 灯 
ST: 以 大 网 链 路 已 建立 
Lia/ A 绿灯 闪烁 ; 端口 在 收 .发 数据 
Z, 以 太 网 链 路 未 建立 
绿灯 : 千 兆 端口 工作 在 1000Mbps 
千 兆 上 行 交换 机 ( 含 combo 口 ) es 


Speed 灭 : 千 兆 端口 工作 在 10/100Mbps 
百 兆 端口 工作 在 10Mbps 
FJK combo O down 
以 太 网 链 路 未 建立 

. 绿灯 : 端口 工作 在 10/100Mbps 

百 兆 交换 机 Link/Act K: 以 太 网 链 路 未 建立 

绿灯 : 以 太 网 链 路 已 建立 

Link/Act 绿灯 闪烁 : 端口 在 收 ,发 数据 

百 兆 交换 机 灭 : 以 太 网 链 路 未 建立 

绿灯 : 端口 工作 在 100Mbps 

K: 端口 工作 在 10Mbps 或 以 太 网 链 路 未 建立 


Speed 


© 掉 线 端口 指示 灯 不 插 网 线 常 亮 ,设备 故障 。 

© 掉 线 端口 接 网 线 , 端 口 指示 灯 不 亮 ,可 重新 插 拔 端口 测试 .更换 网 线 测试 ,更换 下 连 终 
端 ( 如 PC) 测试 ,如 果 均 无 效果 ,设备 故障 。 

D 掉 线 端口 指示 灯 规 律 性 快 闪烁 ,查看 是 否 存 在 环 路 ,建议 逐 端 口 插 拔 网 线 测试 或 者 开 
启 STP 功能 ,具体 操作 为 页 面向 导 : 设备 管理 ~STP 设置 ,STP 全 局 设置 .端口 设置 分 别 如 
图 5-12 和 图 5-13 所 示 。 


优先 级 32768 (0-61440), 步 进 为 4096 
@ Hello Time l (1-10 s) 

© Max Age [2o (6-40 s) 

© Forward Delay (4-30 s) 

桥 ID 32768.0022-57a7-bdef 

根 桥 ID 32768.0022-57a7-bdef 

根 端 口 0 

根 路 径 开销 0 

最 后 括 扑 变化 时 间 0D/ OH/ OM/ 47S 
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(1~200000000) 
(0~240) 


5-13 STP 端口 设置 


© 掉 线 端口 指示 灯 只 亮 不 闪 ,建议 拔 掉 其 他 端口 网 线 ,单独 测试 端口 互通 性 , 取 两 台 PC 
配置 同 网 段 地址 互 ping, 能 否 ping 通 ( 需 关 闭 防 火 墙 等 设置 ) ,若是 不 能 ping 通 , 设 备 故障 ; 

(2) 检查 端口 协商 状态 

检查 端口 协商 的 状态 是 否 正 确 ( 针 对 可 管理 的 交换 机 排查 )。 可 通过 查看 Web 界面 来 确 
认 端 口 的 协商 速率 和 双 工 信息 。 如 果 协 商 异 常 , 建 议 更 换 网 线 .PC 端口 。 

Web 查看 如 图 5-14 所 示 ,具体 操作 为 页 面向 导 : 端口 管理 一 端口 设置 一 端口 设置 。 


端口 设置 L.L LJ 端口 统计 RORE 流量 监控 


[an] aens wkt ; 
1 AUTO/AUTO 0 关闭 


图 5-14 端口 设置 


(3) 检查 MAC 地 址 信息 是 否 学 习 正 确 

@ 无 管理 交换 机 排查 : 在 PC 端 查看 是 否 学 到 对 端 PC 的 ARP 信息 ,如 果 学 习 到 ARP 
信息 ,但 是 ping 不 通 对 端 PC 地 址 ,建议 在 两 边 的 PC 上 同时 抓 包 查 看 ; 如 果 学 不 到 ARP 信 
息 ,建议 在 无 管理 交换 机 上 换 端口 测试 或 替换 交换 机 测试 。 

@ 可 管理 交换 机 排查 : 在 可 网 管 的 交换 机 上 是 否 学 到 正确 的 M AC 地 址 信息 ,可 以 通过 
Web 界面 查看 。Web 查看 如 图 5-15 所 示 , 具 体操 作为 页 面向 导 : 设备 管理 一 MAC 设置 一 
MAC 显示 。 
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图 5-15 MAC 显示 
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(4) 检查 设备 配置 

无 管理 交换 机 不 可 配置 ,以 下 检查 可 管理 交换 机 的 配置 。 

如 果 在 交换 机 上 没有 学 到 终端 的 MAC 地 址 信息 ,可 检查 是 否 以 下 配置 导致 。 

O 是 否 配置 了 端口 过 滤 ,如 果 该 端口 开启 MAC 过 滤 功 能 ,那么 只 有 符合 该 端口 绑 定 条 
件 的 终端 MAC 可 以 通过 ,未 绑 定 终端 MAC 无 法 通过 该 端口 。 

Web 查看 如 图 5-16 所 示 , 具 体操 作为 页 面向 导 : 设备 管理 ~ MAC 设置 一 端口 MAC 
过 滤 。 


端口 MAC 过 泪 


端口 1 MACHÈ (ARP) 设置 
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注意 : 只有 将 “MAC 过 滤 使 能 ” 勾 选 并 点 击 确认 后 ， 下 列 绪 定 条 目 才 会 生效 ; 不 符合 乡 定 条 目的 MACyXd 应 的 导 
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5-16 ”端口 MAC 过 滤 
@ 是 否 配 置 基于 端口 的 VLAN 导致 与 其 他 端口 隔离 。SMB 交换 机 的 VLAN 配置 包含 
802. 1Q VLAN 和 基于 端口 的 VLAN 两 种 ,两 种 VLAN 模式 互 斥 (H3C S1526 交换 机 一 一 端 
口 指示 灯 在 面板 右边 的 例外 , 它 支持 两 种 VLAN 共同 使 用 ) 。 如 果 端 口 配置 了 端口 组 VLAN 
且 此 端口 只 属于 这 个 VLAN ,那么 该 端口 与 其 他 不 属于 此 端口 组 的 端口 二 层 隔离 ,不 能 互通 ， 


但 是 交换 机 可 以 学 到 此 端口 上 来 的 MAC。 
Web 查看 基于 端口 的 VLAN 配置 如 图 5-17 所 示 , 具 体操 作为 页 面向 导 : 设备 管理 一 


VLAN 设置 一 基于 端口 VLAN。 


端口 列表 


共 2 个 ,1 页 ,显示 1-2 


图 5-17 基于 端口 VLAN 


(5) 设备 异常 导致 掉 线 

D 无 管理 交换 机 可 以 采用 替换 掉 线 端口 或 替换 设备 解决 ,如 果 蔡 换 掉 线 端口 或 替换 设备 
可 以 解决 , 则 属于 设备 异常 。 

@ 可 管理 交换 机 可 尝试 查看 端口 的 统计 报 文 ,看 端口 的 收发 数据 包 是 否 正常 ,统计 的 报 
文 类 型 是 否 有 异常 ,在 Web 界面 上 查看 如 图 5-18 所 示 , 具 体操 作为 页 面向 导 : 端口 管理 一 端 
口 设 置 一 端口 统计 。 

© 端口 的 接收 报 文 描述 如 表 5-12 所 示 。 


医 53 一 > 交换 机 产品 399 


CHRE) ESCE] 
aiea 4408 
总 字 节 数 570471 
rsa 222 
saa 52 
Pausetà o 
Heia 0 
Runts 模 误 包 0 
Giants 错 误 包 0 
CRORE 0 
Frame 锚 误 包 0 
Aborts 模 误 电 0 
Ignoredtäižt 0 
Erro 5873 
S=nh 4907505 
raa 18 
san 38 
Pause 0 

图 5-18 端口 统计 


表 5-12 端口 接收 报 文 描述 


接收 统计 描 æ 
总 数据 包 接收 报 文 的 总 数量 
总 字 节 数 接收 报 文 的 总 字 节 数 
广播 包 接收 广播 报 文 的 总 数量 
多 播 包 接收 多 播报 文 的 总 数量 
接收 错误 包 接收 错误 报 文 的 总 数量 
Runts 错误 包 ”| CRC 正确 , 且 数 据 帧 长 度 小 于 64 字 节 的 报 文 数量 
Giants 错误 包 | CRC 正确 , 且 数 据 帧 长 度 大 于 1518 字 节 的 报 文 数量 
CRC 错误 包 CRC 错误 , 且 数 据 帧 长 度 处 于 64 一 1518 字 节 的 报 文 数量 
数据 帧 长 度 处 于 64 一 1518 字 节 , 且 报 文 的 FCS( 帧 校 验 序列 ) 的 字 节 数 为 非 整数 的 报 文 
Frame 错误 包 数量 
接收 到 的 非法 报 文 总 数 ,非法 报 文 包括 : 
报 文 碎片 : 长 度 小 于 64 字 节 (长 度 可 以 为 整数 或 非 整 数 ) 且 CRC 校 验 错误 的 帧 ; 
Aborts 错误 包 jabber Wi: 大 于 1518 或 1522 字 节 , 且 CRC 校 验 错误 ( 报 文 字 节 可 以 为 整数 或 非 整数 )， 
符号 错误 帧 : 报 文中 至 少 包含 1 个 错误 的 符号 ; 
长 度 错误 帧 : 报 文中 802.3 长 度 字段 与 报 文 实际 长 度 (46 一 1500 字 节 ) 不 匹配 
Ignored 错误 包 | 由 于 端口 接收 缓冲 区 不 足 等 原因 而 丢弃 的 报 文 数量 


@ 端口 发 送 报 文 描述 如 表 5-13 所 示 。 


表 5-13 端口 发 送 报 文 描述 


发 送 统计 描 Ë 
总 数据 包 发 送 报 文 的 总 数量 
总 字 节 数 发 送 报 文 的 总 字 节 数 
广播 包 发 送 广 播报 文 的 总 数量 
多 播 包 发 送 多 播报 文 的 总 数量 
发 送 错 误 包 发 送 错误 报 文 的 总 数量 
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发 送 统 计 


续 表 
#f 述 


发 送 失 败 的 报 文 总 数 , 即 报 文 已 经 开始 发 送 ,但 由 于 各 种 原因 (如 冲突 ) 而 导致 发 送 


Aborts 错误 包 失败 


Deferred 错误 包 第 一 次 传输 请 求 由 于 网 络 忙 而 延迟 的 报 文 数量 


Collisions 错误 包 端口 在 报 文 传输 过 程 中 所 产生 冲突 的 报 文 数量 


Late collisions 错误 包 


(6) 收集 诊断 信息 


延迟 冲突 帧 的 数量 ,延迟 冲突 帧 是 指 帧 的 前 512b 已 经 被 发 送 , 由 于 检测 到 冲突 ,该 
帧 被 延迟 发 送 


收集 一 键 导出 信息 收集 需要 在 Web 界面 上 操作 ,具体 位 置 如 图 5-19 所 示 。 


点 击 “故障 收集 ” 按钮 ， 将 所 有 的 地 障 维 护 信息 打包 成 一 个 文件 ， 备份 到 处 99PC 上 。 ET J 
点 击 “配置 导出 ”按钮 将 当前 配置 信息 打包 成 一个 文件 , 备份 到 您 的 PC 上 。 CRESE 
5-19 故障 维护 


将 以 上 信息 收集 整理 ,并 详细 了 解 故 障 现 象 和 现场 网 络 拓扑 ,求助 呼叫 中 心 处 理 。 


5.2.4 SMB 交换 机 配合 
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š = 5.2.4 SMB 交换 机 配合 
05 交换 机 产品 5.2 SMB 产品 应 用 软件 使 用 步骤 详解 
故障 排查 


1. 开始 

SMB 交换 机 涵盖 以 下 系列 。 

D 无 管理 交换 机 : S1000 系列 交换 机 、S1200 系列 交换 机 、S1300 系列 交换 机 。 

@ 可 管理 交换 机 : S1500 系列 交换 机 、S1600 系列 交换 机 、S2100 系列 交换 机 、S5000P 系 
列 交换 机 、S5000E 系列 交换 机 。 

SMB 交换 机 配合 应 用 软件 使 用 时 ,需要 根据 客户 的 网 络 拓扑 来 排查 ,所 以 配合 应 用 软件 
定位 的 故障 的 思路 : 根据 不 同类 型 的 应 用 软件 ,从 网 络 拓扑 入 手 排查 。 

2. 流程 图 相关 操作 说 明 

(1) 是 否 无 盘 启动 软件 

检查 PC 客户 端 是 否 是 无 盘 电脑 ,是 否 为 无 盘 无 法 启动 或 无 盘 启 动 慢 问 题 。 

(2) 排查 无 盘 启动 故障 

无 盘 启 动 软件 配合 交换 机 使 用 时 ,一 般 出 现 的 问题 是 无 盘 客 户 端 无 法 启动 .启动 慢 ,网 络 
故障 排查 方法 如 下 。 

D 无 盘 启 动 环境 建议 采用 全 千 兆 网 络 设备 进行 组 网 ,PC 和 服务 器 端 网 卡 均 采 用 千 兆 自 
协商 模式 。 

@ 检查 网 络 拓扑 。 是 否 存在 百 兆 、. 千 兆 客 户 端 混 接 情况 。 如 果 客 户 端 为 百 兆 ,服务 器 为 
千 兆 ,交换 机 必须 支持 并 打开 流 控 。 

@ 在 千 兆 百 兆 混 接 的 拓扑 中 ,如 果 交 换 机 默认 流 控 关 闭 且 不 支持 设置 ,可 以 尝试 将 服务 
器 强制 成 百 兆 全 双 工 尝试 。 

@ 如 果 在 无 盘 启 动 PXE(Preboot Execution Environment, 远程 引导 技术 ) 阶 段 出 现 故 
障 ,可 能 是 客户 端 PXE 驱动 异常 ,建议 刷新 网 卡 PXE 程序 和 主板 BIOS 到 最 新 版 本 。 

(3) 是 否 网 络 克隆 软件 

检查 PC 客户 端 是 否 为 使 用 网 络 克隆 软件 慢 问 题 。 

(4) 排查 网 络 克 隆 故 障 

网 络 克 隆 软 件 配合 交换 机 使 用 时 ,一般 出 现 的 问题 是 网 克 慢 ,网 络 故 障 排查 方法 如 下 。 

D 建议 使 用 单 台 交 换 机 分 批 对 客户 端 进行 网 克 , 减 少 网 克 客 户 端的 数量 , 且 尝 试 将 服务 
器 网 克 的 端口 和 别 的 业务 端口 划分 VLAN 区 分 。 

@ 如 果 网 络 中 的 交换 机 端口 (包括 服务 器 的 端口 和 接 和 人 交换 机 的 端口 ) 开 启 了 流 控 ,建议 

@ 如 果 端 口 开启 了 广播 风暴 抑制 ,建议 将 广播 风暴 抑制 关闭 。 

@ 如 果 在 网 络 克隆 过 程 中 出 现 个 别 端口 协商 异常 (协商 成 低速 端口 ) , 拔 掉 协 商 异 常 的 端 
口 网 线 。 

© 如 果 上 述 步 又 实施 后 网 克 问 题 没有 解决 , 则 尝试 升级 网 卡 的 BIOS 程序 到 最 新 版 本 或 
者 更 新 MAXDOS 程序 版 本 。 

(5) 是 否 同 传 软件 

检查 PC 客户 端 是 否 为 使 用 同 传 软件 慢 问 题 。 
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(6) 排查 同 传 故障 

同 传 软件 在 配合 交换 机 使 用 时 ,一 般 出 现 的 问题 是 同 传 慢 ,排查 网 络 故障 方法 如 下 。 

O 需要 同 传 的 PC 需 将 服务 器 的 网 卡 强制 成 百 兆 全 双 工 (一 般 服 务 器 网 卡 使 用 都 是 千 
兆 ) ,网 卡 有 流 控 设 置 项 的 也 将 流 控 开启 。 

@ 在 同 传 软 件 的 多 媒体 教学 使 用 中 ,还 需要 关闭 传输 网 络 中 不 工作 的 PC 的 远程 唤醒 功 
能 ,常见 网 卡 的 远程 唤醒 功能 关闭 方法 如 图 5-20 一 图 5-22 所 示 。 


图 5-20 网 卡 型 号 是 Intel ,远程 唤醒 方式 设置 
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5-22 百 兆 全 双 工 传输 速率 


一 般 性 能 的 千 兆 网 卡 ,传输 (以 FTP 传输 为 例 ) 速 率 如 图 5-23 所 示 。 

如 果 传输 时 ,速率 低 于 此 平均 值 ,建议 排查 同 传 慢 问题 。 

(7) 其 他 软件 故障 排查 

配合 其 他 软件 使 用 ,例如 KTV 点 歌 软件 , 英 保 通 软件 等 ,基本 的 排查 思路 如 下 。 

检查 网 络 拓扑 ,是 否 存在 服务 器 、 客 户 端的 千 兆 、` 百 兆 混 接 情况 ,排除 网 络 拥塞 。 

@ 应 用 软件 的 传输 方式 如 果 是 广播 方式 (包括 组 播 和 未 知 单 播 ) ,部 分 SMB 交换 机 存在 
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<<=  /iMC_UAM_5.1 (E0301) - 副 340,826.6.， 一 般 正在 传 办 


Rg 000019 82780150 SAEST] 


5-23 千 兆 网 卡 传输 速率 


广播 报 文 转发 人 口 抑制 的 问题 , 即 广播 报 文 只 能 按照 最 低速 率 端口 的 接受 能 力 进 行 转发 ,所 以 
需要 排除 网 路 中 的 低速 端口 。 

© 如 果 以 上 措施 无 法 解决 ,建议 收集 现场 网 络 拓扑 ,使 用 的 应 用 软件 版 本 、 型 号 ,使 用 的 
网 卡 信息 、 驱 动 版 本 ,联系 呼叫 中 心 处理 。 


5.2.5 SMB 可 管理 交换 机 
忘记 密码 故障 排查 
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== = 3 5.2.5 SMB 可 管理 交换 机 
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1. 开始 

SMB 可 管理 交换 机 涵盖 以 下 系列 : S1500 系列 交换 机 、S1600 系列 交换 机 、S2100 系列 交 
换 机 、S5000P 系列 交换 机 、S5000E 系列 交换 机 。 

忘记 密码 问题 的 解决 思路 是 : 先 检查 是 否 可 以 登录 Web 界面 解决 ,再 检查 是 否 可 以 通过 
Console 口 进入 交换 机 命令 行 解决 ,最 后 检查 是 否 可 以 进入 交换 机 的 Bootroom 界面 解决 。 

2. 流程 图 相关 操作 说 明 

(1) 是 否 可 以 打开 Web 登录 界面 

检查 是 否 可 以 打开 交换 机 的 登录 界面 ,SMB 可 管理 交换 机 默认 的 管理 地 址 为 192. 168. 
0.233(S5000P 系列 、S5000E 系列 ) 或 者 192. 168. 0. 234(S1500 系列 、S1600 系列 、S2100 
系列 )。 

(2) 单 击 Web 界面 “忘记 密码 ”按钮 查看 

如 果 输 入 管理 地 址 可 以 打开 Web 界面 ,但 是 忘记 用 户 名 或 者 密码 的 ,可 以 单 击 如 图 5-24 
所 示 的 “忘记 密码 ”按钮 。 
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图 5-24 Web 界面 
单 击 之 后 会 弹出 处 理 忘 记 密码 的 详细 步骤 ,按照 步骤 操作 即 可 ,操作 如 图 5-25 所 示 。 


1 交换 机 默认 的 管理 地 址 、 用 户 名 和 密码 是 多 少 ? 
答 : 


起 情况 下 S5000E 的 管理 IP 地 址 为 192 168 0 233, Web 登 录 时 ， 
2 忘记 Web 登 录 账 号 如 何 处 理 ? 


5-25 忘记 密码 操作 


(3) 是 否 可 以 通过 Console 口 进入 命令 行 

如 果 无 法 登录 到 交换 机 的 W eb 登录 界面 , 则 确认 是 否 可 以 通过 Console 口 进入 设备 的 命 
Aia 
(4) 检查 local-user 配置 
进入 设备 系统 视图 后 ,建议 用 户 查看 当前 用 户 ,并 根据 用 户 类 型 来 重 置 密码 。 
命令 : display local-user 


例如 : 通过 命令 行 查看 当前 设备 上 的 用 户 和 详细 信息 ,查看 信息 如 下 。 
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[H3C] display local-user 
1 The contents of local user admin: 


State :Active 
ServiceType Mask :W 
Level sl 


2 The contents of local user telnet: 


State :Active 
ServiceType Mask :T 
Level aL 


3 The contents of local user ftp: 


State :Active 
ServiceType Mask :C 
Level Hi 


Total 3 local user(s) matched. 
ServiceType Mask Meaning: C--Terminal T--Telnet W--Web 


通过 查看 到 的 用 户 名 ,进入 相应 视图 重 置 密码 。 
命令 : password simple 123 
例如 : 通过 命令 行 重 置 telnet 的 密码 ,设置 信息 如 下 。 


[H3C]local-user telnet 
[H3C-luser-telnet] password simple 123 


说 明 : 老 款 S1526( 指 示 灯 位 于 端口 左 侧 ) 交 换 机 如 果 忘 记 密码 ,只 能 通过 命令 行 的 恢复 


出 厂 设置 解决 ,无 法 通过 重 置 用 户 类 型 密码 处 理 。 


(5) 是 否 可 以 进入 Bootroom 菜单 
如 果 用 户 设置 了 Console 口 密码 且 遗 忘 , 则 无 法 进入 命令 行 设置 。 


E E E JEPE AE AE AE FE FE HE E EFE JE PEPE PE JEFE FE E BE EIE JEPE PEIE AE FE FE E EPE E FE PE PE AE FE FE FE FE E EIE IE PEIE IE FE FE FE E DEPE IE FEIE AE PEHE FE FE EEEE EEEE 


* Copyright (c) 2010-2013 Hangzhou H3C Technologies Co. , Ltd. * 
* All rights Reserved. * 
* Without the owner's prior written consent, * 
* no decompiling or reverse-engineering shall be allowed. * 


3E 3E IERE RE E E EIE FE FE JE IE AE AE FE FE IE E IE FEIE AE JE AE IE FE FE E JEFE JEFE FEAE PEIE FE E E E FE FEIE FEIE IE FE IE FE FE E EEIEIEE IE FE FE FE FE EEE EEEE EKKE 


User interface Aux0/0 is available 


Please press ENTER. 


Login authentication 


Password: 


这 时 需要 用 户 重 启 设 备 , 进 入 Bootroom 界面 设置 ,默认 进 Bootroom 的 密码 为 空 。 如 果 


用 户 设 置 了 Bootroom 密码 且 密码 忘记 , 则 无 法 执行 此 操作 ,建议 联系 呼叫 中 心 处 理 。 


(6) 恢复 出 三 设置 
进入 Bootroom 界面 之 后 ,显示 菜单 如 下 。 
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Press Ctrl-B to enter Boot Menu...3 
Password: 


BOOT MENU 
. Download application file to flash 
. Modify bootrom password 
+ Restore default configurations of applicaiton 
. Reboot system 


° wo 


Enter your choice(0-3) :3 


选择 3 号 菜单 ,执行 “恢复 出 厂 设置 ?命令 。 在 配置 恢复 出 厂 以 后 ,可 以 选择 0 号 菜单 执行 
重启 操作 ,重新 登录 设备 即 可 使 用 。 
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的 配置 
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详 口 的 配置 ARP 规 则 | 
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1. 开始 

定位 故障 思路 是 : 开始 先 检查 ARP-DETECTION 是 否 正确 使 能 。 如 果 配 置 无 问题 ,再 
看 目的 端口 是 否 为 ARP 信任 端口 。 如 果 不 是 ARP 信任 端口 , 则 需要 进行 用 户 的 合法 性 检 
查 。 关 于 用 户 合法 性 检查 ,首先 进行 的 是 匹配 A RP 规则 ,如果 匹配 , 则 按照 规则 处 理 ,如 果 不 
匹配 , 则 查看 是 否 匹配 IP SOURCE GUARD。 关 于 IP-SOURCE-GUARD 的 匹配 ,如 果 找 到 
对 应 的 IP 表 项 , 则 判断 是 否 非法 ,如 果 不 匹 配 , 则 查看 是 否 匹 配 OULMAC DOTIX, DHCP- 
SNOOPING 的 其 中 一 项 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 ARP-DETECTION 的 配置 

查看 ARP-DETECTION 在 设备 上 对 应 的 VLAN 中 是 否 使 能 。 如 果 未 使 能 , 则 进行 下 一 
步 处 理 。 

命令 : display arp detection 

例如 : ARP-DETECTION 在 VLAN 10 中 使 能 , 则 有 如 下 显示 。 


[H3C] dis arp detection 
ARP detection is enabled in the following VLANs: 
1,10 


(2) 检查 ARP 信任 端口 的 配置 

查看 该 ARP 所 在 或 所 应 该 的 端口 是 否 为 信任 端口 ,如 果 不 为 信任 端口 , 则 进行 下 一 步 
处 理 。 

命令 : display this 

例如 : Ten-GigabitEthernet 5/0/1 为 ARP 信任 端口 。 


[H3C-Ten-GigabitEthernet5/0/1]display this 
port link-mode bridge 
port link-type hybrid 
port hybrid vlan 1 untagged 

arp detection trust 


(3) 匹配 配置 规则 

查看 在 设备 上 是 否 配置 了 ARP 的 规则 。 如 果 匹 配 , 则 按照 规则 处 理 (permit/deny) ,如 果 
未 匹配 , 则 进行 下 一 步 处 理 。 

MS: display arp detection 

例如 : IP X 1.1.1. 0/24, MAC 3 2222-2222-2200/ffff-ffff-ff00 的 ARP, 被 丢弃 。 


[H3C] display arp detection 
ARP detection is enabled in the following VLANs: 
T, 10 


ARP detection: 
arp detection 0deny ip 1.1.1.0 255.255.255.0 mac 2222-2222-2200 ffff-ffff-ff00 
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(4) 匹配 IP-SOURCE-GUARD 

查看 是 否 匹 配 IP SOURCE GUARD 的 静态 配置 。 如 果 找 到 了 对 应 源 IP 地 址 的 静态 绑 
定 表 项 但 源 MAC 地 址 不 符 , 认 为 该 ARP 报 文 非法 ,进行 丢弃 。 如 果 没 有 找到 对 应 源 IP 地 址 
的 静态 绑 定 表 项 ; 如 果 未 匹配 , 则 进行 下 一 步 处 理 。 

MA: display ib source binding 

例如 : 1.1.1.1 0002-0002-0002 的 ARP 报 文 会 被 丢弃 ,0011-1111-1111 1. 1. 1. 1 报 文 符 
合 静 态 绑 定 表 项 ,会 正常 学 到 ,其 他 IP 地 址 非 1.1. 1.1 的 ARP 正常 学 习 。 


<H3C>4isplay ip source binding 

Total entries found: 1 
MAC Address IP Address VLAN Interface Type 
OO Tl} N/A GE1/0/28 Static 


(5) 匹配 OUI-MAC、DOTI1X、DHCP-SNOOPING 
检查 源 MAC 是 否 为 OULMAC,VOICE VLAN 是 否 使 能 ; 如 果 未 匹配 , 则 进行 下 一 步 
处 理 。 
命令 : display voice vlan oui 
display voice vlan state 
例如 : 查看 交换 机 上 目前 配置 的 OUI-MAC 如 下 且 端 口 Ten-GigabitEthernet5/0/1 使 能 


了 voice vlan, 


[H3C]dis voice vlan oui 
Oui Address Mask Description 
0001-e300-0000 ffff-ff00-0000 Siemens phone 
0003-6b00-0000 ffff-ff00-0000 Cisco phone 
0004-0d00-0000 ffff-ff00-0000 Avaya phone 
0060-b900-0000 ffff-ff00-0000 Philips/NEC phone 
00d0-1e00-0000 ffff-ff00-0000 Pingtel phone 
00e0-7500-0000 ffff-ff00-0000 Polycom phone 
00e0-bb00-0000 ffff-ff00-0000 3com phone 
[H3C]dis voice vlan state 

Maximum of Voice VLANs: 128 

Current Voice VLANs: 1 

Voice VLAN security mode: Security 

Voice VLAN aging time: 1440 minutes 

Voice VLAN enabled port and its mode: 

PORT VLAN MODE COS DSCP 


Ten-GigabitEthernet5/0/1 2 AUTO 6 46 


检查 IP.MAC 是 否 匹 配 DHCP-SNOOPING 表 项 ; 如 果 未 匹配 , 则 进行 下 一 步 处 理 。 
命令 : display dhcp-snooping 
例如 : 匹配 1.1.1.1 1111-1111-1111 的 ARP 正常 学 习 , 其 符合 dhcp-snooping 表 项 。 


[H3C] dis dhcp-snooping 

DHCP Snooping is enabled. 

The client binding table for all ports. 

Type : D--Dynamic , S--Static , R--Recovering 
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MAC Address Lease VLAN SVLAN Interface 


Type IP Address 
GigabitEthernet1/0/1 


D TERM 286 1 2 


检查 源 MAC 是 否 为 dotlx 的 MAC。 如 果 是 , 则 正常 学 习 ; 否则 丢弃 报 文 。 
MS: display connection access-type dotlx 
例如 : 源 MAC 2c59-e501-a055 是 dotlx 用 户 的 MAC, 


[H3C] display connection access-type dotlx 
Slot: 1 
Index=23 , Username= dot1x@ dot1x 
IP=N/A 
IPv6=N/A 
MAC=2c59-e501-a055 


Total 1 connection(s) matched on slot 1. 
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Se 3 DE 5.2.7 中 低 端 设备 CPU 利 à 
05 交 扫 产品 T 


1. 开始 

本 文档 主要 针对 中 低 端 V5 平台 产品 ,包括 : Blade 5500、B6300、S3100V2、S3600V2、 
S3500-EA V2, S5120, S5500, CE3000、 S5800, CE3000-EI、 S5810, S5820X、 S5830、S7500E、 
S7600、S7600-X V5、S10500 V5、 部 分 WX 系列 产品 .部 分 教育 网 上 系列 。 

中 低 端 产品 出 现 CPU 利用 率 高 问题 ,首先 应 该 查看 导致 CPU 利用 率 异常 高 的 CPU 任 
务 , 如 果 是 常见 的 导致 CPU 利用 率 高 的 CPU 任务 (排查 步骤 中 有 罗列 ) ,请 按照 本 云图 的 指 
导 ,继续 排查 问题 的 具体 原因 ; 如 果 是 非常 见 的 CPU 任务 ,请 拨打 400-810-0504 寻求 帮助 , 

对 于 S7500、S7500E、S7600、S7600-X V5、S10500 V5 K WX 系列 产品 这 些 框 式 设备 , 需 
要 先 判 断 是 哪 一 类 单 板 的 CPU 利用 率 异常 高 ,如 果 是 主 控 板 和 业务 板 , 按 照 本 云图 继续 排 
查 ; 如 果 是 OAA 单 板 和 功能 单 板 (如 NAT 单 板 、NetStream 单 板 等 ), 因 为 这 些 单 板 在 正常 
情况 下 CPU 利用 率 就 偏 高 ,所 以 不 在 本 云图 排查 对 象 范围 内 ,可 以 拨打 400-810-0504 寻求 
帮助 。 

2. 流程 图 相关 操作 说 明 

(1) 判断 设备 或 单 板 CPU 利用 率 是 否 异常 高 

其 中 框 式 设备 需要 判断 是 主 控 板 和 业务 板 CPU 利用 率 高 ,还 是 OAA 单 板 和 功能 单 板 
CPU 利用 率 高 。 

命令 : display cpu 

Q) 正常 情况 下 , 盒 式 设备 、 框 式 设备 业务 板 和 主 控 板 的 CPU 利用 率 一 般 都 是 在 60% 以 内 
的 ,应 根据 CPU 5 分 钟 内 的 平均 利用 率 来 判断 该 设备 或 单 板 的 CPU 利用 率 是 否 异 常 。 如 果 
确认 CPU 利用 率 高 ,请 按照 后 续 步 又 继续 排查 。 

© 正常 情况 下 ,OAA 单 板 和 功能 单 板 (如 NAT 单 板 、NetStream 单 板 等 )CPU 利用 率 偏 
高 ,不 在 本 云图 的 排查 对 象 范围 内 。 

例如 : 通过 命令 可 以 判断 出 3 号 槽 位 的 单 板 CPU 利用 率 异 常 高 。 


<H3C>display cpu 

Slot 0 CPU usage: 
11% in last 5 seconds 
13% in last 1 minute 
13% in last 5 minutes 

Slot 3 CPU usage: 
85% in last 5 seconds 
79% in last 1 minute 
71% in last 5 minutes 


(2) 查看 导致 CPU 利用 率 异常 高 的 CPU 任务 

确认 单 板 CPU 利用 率 异常 高 后 ,需要 查看 导致 单 板 CPU 利用 率 异常 高 的 CPU 任务 。 
fh. display cpu-usage 1 verbose (chassis Chassis number) slot slot number 

从 最 新 记录 (倒数 第 一 条 记录 ) 开 始 . 显 示 entry-number 条 记录 (下 面 的 举例 中 是 5 条 )。 
例如 : 查询 slot 0 槽 位 单 板 的 5 条 CPU 利用 率 记 录 。 
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[H3C]display cpu-usage 1 verbose chassis 1 slot 2 

a CPU usage info (no: 0 idx: 16) ---------- 

CPU Usage Stat. Cycle : 60 (Second) 

CPU Usage :64% //CPU 使 用 率 
CPU Usage Stat. Time : 2015-02-03 11:51:41 // 查 看 时 间 
CPU Usage Stat. Tick : 0xc39(CPU Tick High) 0x3872564(CPU Tick Low) 
Actual Stat. Cycle : 0x2(CPU Tick High) 0xcb458971(CPU Tick Low) 
TaskName CPU Runtime(CPU Tick High/CPU Tick Low) 
VIDL 36% 2/ 2a37179 

TICK 0% 0/ 1309565 

STMR 0% 0/ 482b03 

RECV 0% 0/ 28210e 

DSTK 0% 0/ 182H 

SUBC 0% 0/ d85a 

L2X0 2% 0/ 518ba64 

bC. 0 0% 0/ 1541da2 

bLKO 0% 0/ 107b86b 

DQFD 0% 0/ 1c01e0 

DQIT 0% 0/ 13b52b1 

T_DM 40% 40/bcd37179 


通过 查询 命令 可 以 确认 是 co0 任务 引起 CPU 升 高 的 (VIDL 是 空闲 任务 ) ,这 时 就 要 进 一 
步 排查 Console 用 户 进行 了 什么 命令 操作 才 导 致 的 。 
常见 的 导致 CPU 利用 率 异常 高 的 CPU 任务 如 表 5-14 所 示 。 


表 5-14 导致 CPU 利用 率 高 的 任务 


CPU 任务 名 任务 描述 

VIDL 空闲 任务 

T_DM MAC 同步 任务 

L2X0/L2X1 地 址 同步 任务 

ROUT 路 由 管理 任务 

ARP ARP 协议 报 文 处 理 任务 

co0 Console 口 用 户 与 设备 之 间 的 会 话 任 务 
vt0 Vty 用 户 与 设备 之 间 的 会 话 任务 


如 果 导 致 CPU 利用 率 异 常 高 的 CPU 任务 在 上 述 列 表 中 ,请 按照 后 续 步 又 继续 排查 。 

如 果 导 致 CPU 利用 率 异 常 高 的 CPU 任务 不 在 上 述 列表 中 ,说 明 该 任务 是 非常 见 的 导致 
CPU 利用 率 异常 高 的 CPU 任务 ,请 拨打 400-810-0504 寻求 帮助 。 

(3) 判断 导致 CPU 利用 率 异常 高 的 原因 ,排除 异常 源 

确认 导致 CPU 利用 率 异常 高 的 CPU 任务 后 ,就 需要 对 常见 的 导致 CPU 利用 率 异常 高 
的 任务 进行 问题 排查 。 

Q@ L2X0/L2X1/ T_DM 任务 .这些 任务 都 和 MAC 地 址 学 习 相关 ,需要 排查 设备 是 否 存 
在 MAC 地 址 漂移 ,或 者 设备 收 到 大 量 TC 报 文 ,导致 MAC 地 址 频繁 刷新 。 

对 于 MAC 地 址 漂移 问题 ,可 以 通过 以 下 命令 查看 MAC 地 址 迁移 记录 。 

命令 : debugl2 slot_id chip mac/move_rec/show( 诊 断 视图 ) 

例如 : 查看 S75E slot 5 MAC 地 址 迁移 记录 。 
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[H3C-diagnose] debug 12 5 0 mac/move_rec/ show 

DE L2MACMOVEMODULE INFO --------=-------------- 
L2MacMoveModule Enabled 

L2MacMoveDebug Switch Off 

2 L2MACMOVE Record INFO ----------------------- 
MacAddress Vlan Agg Mod Port ->Agg Mod Port Cnt LatestTime Del 
:e0:4c:17:f4:9e 20 0 19 s -0 $£ 9 2015/1 /9 10:24:22 1 
:e0:4c:17:f4:58 30 o 40 TES 119 £ 2015/1 /9 10:24:24 1 
:e0:4c:17:f4:5c 20 QI ->0 14 20 2015/1 /9 10:24:50 1 
:e0:4c:17:f5:66 10 0 10 .0 =>0. 14 2 2015/1 /9 10:24:50 1 
:e0:4c:17:f5:24 30 0 “10 IE S S 97 2015/1 /9 10:24:59 1 
:e0:4c:17:f5:2c 30 Ü “110: 9: — D: 15: 10 2015/1 /9 10:25:22 1 


e° ° O ° @ O 
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从 以 上 标 红 的 信息 中 可 以 看 到 0 :e0:4c:17:f4:9e ( 补 全 为 00e0-4c17-f49e) 这 个 MAC 地 
址 在 vlan 20 H REHA 0( 实 际 为 非 聚 合 组 成 员 端口 ), 从 MOD 14 的 PORT 3 漂移 至 MOD 
14 的 PORT 9 ,漂移 次 数 为 4 次 ,最 后 一 次 漂移 时 间 为 2015/1/9 10:24:22。 

查看 漂移 的 实际 物理 端口 还 需要 结合 [h3c-diagnose ]debug port mapping slot_id 命令 。 


[H3C-diagnose] debug port mapping 5 

[Interface] [Unit] [Port [Name] [Combo?] [Active?] [IfIndex] [MID] [Link] [Attr] 
GE5/0/1 0 š gel no no 0x2900000 14 up Bridge 
GE5/0/2 0 0 ge0 no no Ox2900001 14 up Bridge 
GE5/0/3 0 3 ge3 no no Ox2900002 14 up Bridge 
GE5/0/4 0 2 ge2 no no 0x2900003 14 up Bridge 
GE5/0/5 0 5 ge5 no no 0x2900004 14 up Bridge 
GE5/0/6 0 4 ge4 no no 0x2900005 14 up Bridge 
GE5/0/7 0 7 ge7 no no Ox2900006 14 up Bridge 
GE5/0/8 0 6 ge6 no no 0x2900007 14 up Bridge 
GE5/0/9 0 & ge9 no no Ox2900008 14 up Bridge 
GE5/0/10 0 8 ge8 no no 0x2900009 14 up Bridge 
GE5/0/11 0 ll gell no no 0x290000a 14 up Bridge 
GE5/0/12 0 10 gel0 no no Ox290000b 14 up Bridge 
GE5/0/13 0 13 gel3 no no 0x290000c 14 up Bridge 
GE5/0/14 0 12 gel2 no no Ox290000d 14 up Bridge 
GE5/0/15 0 15 gel5 no no Ox290000e 14 up Bridge 
GE5/0/16 0 14 gel4 no no Ox290000f 14 up Bridge 
GE5/0/17 0 17 gel7 no no 0x2900010 14 up Bridge 
GE5/0/18 0 16 gel6 no no 0x2900011 14 up Bridge 
GE5/0/19 0 19 gel9 no no 0x2900012 14 up Bridge 
GE5/0/20 0 18 gel8 no no 0x2900013 14 up Bridge 
GE5/0/21 0 21 ge2l no no 0x2900014 14 up Bridge 
GE5/0/22 0 20 ge20 no no 0x2900015 14 up Bridge 


从 以 上 映射 关系 可 以 看 到 ,之 前 的 从 MOD 14 的 PORT 3 漂移 至 MOD 14 的 PORT 9, 实 
际 的 物理 漂移 为 从 GE5/0/3 漂移 至 GE5/0/9。 存 在 MAC 漂移 ,一 般 为 存在 环 路 导致 ,因此 
需要 在 这 几 个 端口 之 间 排 查 底下 的 设备 是 否 存在 环 路 。 

涉及 聚合 口 的 漂移 的 查看 稍微 有 些 区 别 , 这 里 不 详细 介绍 。 可 参看 中 低 端 常见 故障 处 理 
胶片 。 

对 于 设备 收 到 大 量 TC 报 文 问题 ,可 通过 以 下 命令 多 次 查看 使 能 STP 的 端口 TC 报 文 的 
收发 情况 。 
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命令 : <H3C>dis stp tc slot slot_id 
例如 : 查看 slot 3 的 TC 告警 信息 。 


<H3C>display stp tc slot 3 
ee STP slot 3 TC or TCN count "== 


MSTID Port Receive Send 
0 GigabitEthernet3/0/1 0 39 
0 GigabitEthernet3/0/2 24 45 
0 GigabitEthernet3/0/3 0 41 


© ROUT 任务 ,路 由 管理 任务 ,需要 排查 设备 是 否 存在 路 由 振荡 问题 。 通 过 以 下 命令 可 
以 查询 路 由 表 统 计 信息 ,如 果 路 由 增删 计数 变化 明显 ,请 排查 相关 路 由 协议 振荡 源 。 
命令 : display ip routing-table statistics 


例如 : 查看 设备 的 路 由 表 统 计 信息 。 


<H3C>display ip routing-table statistics 

Protocol route active added deleted freed 
DIRECT 24 4 25 1 0 
STATIC 3 0 3 0 0 
RIP 0 0 0 0 0 
OSPF 12 6 0 0 0 
JIS-IS 0 0 0 0 0 
BGP 0 0 0 0 0 
Total 39 10 28 II 0 


© ARP 任务 ,处 理 ARP 协议 报 文 的 任务 ,需要 排查 是 否 存在 ARP 攻击 问题 。 通 过 以 下 
命令 可 以 查询 上 送 CPU 的 ARP 报 文 的 情况 ,包括 ARP 收 包 速 率 、 被 丢弃 报 文 个 数 , 需 要 多 
次 查看 ,观察 增长 情况 。 

命令 : debug rztz softcar showshot_id( 诊 断 视图 ) 

例如 : 查看 设备 slot 5 上 送 CPU 报 文 统计 ,重点 关注 ARP 报 文 


[H3C-diagnose] debug rztz softcar show 5 

The softcar pps auto-adjust switch: On 

ID Type Pk: _PSec DisPkt_All Pps Dynamic Switch Hash ACLmax 
0 ROOT 0 0 200 S On SMAC 0 

ISIS 0 0 200 D On SMAC 8 

29 ARP 35 25670 100 S On SMAC 8 

30 ARP_REPLY 0 0 100 S On SMAC 8 


@ co0/vt0 任务 ,Console 口 用 户 或 者 vty 接口 用 户 ( 比 如 Telnet 用 户 ) 与 设备 之 间 的 会 话 
任务 ,需要 确认 Console 口 用 户 或 者 vty 接口 用 户 ( 比 如 Telnet 用 户 ) 是 否 正 在 收集 诊断 信息 、 
用 复制 粘贴 方式 下 发 大 量 配 置 等 操作 。 如 果 有 相关 操作 ,请 停止 相关 操作 后 再 观察 单 板 的 
CPU 利用 率 是 否 恢复 正常 。 

如 果 排 除 以 上 问题 后 , 单 板 CPU 利用 率 还 存在 异常 高 的 问题 ,请 拨打 400-810-0504 寻求 
帮助 。 


查看 私 网 路 由 


检查 
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6.1.1 IPSec VPN 故障 排查 步骤 详解 


1. 开始 

IPSec VPN 是 一 种 很 常用 的 三 层 VPN 技术 , 它 可 以 保证 数据 通信 的 机 密 性 、 完 整 性 ,还 
可 以 实现 数据 源 验 证 、 防 重 放 报 文 等 安全 功能 。IPSec VPN 的 相关 问题 需要 综合 考虑 路 由 、 
IKE IPSec 和 访问 控制 等 模块 ,定位 故障 的 思路 是 : 先 查 路 由 ,再 查 IKE 和 IPSec 模块 ,最 后 
查看 安全 策略 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 隧道 两 端 设备 互通 情况 

要 想 保 证 IPSec VPN 隧道 建立 成 功 ,首先 需要 保证 隧道 两 端 设 备 通信 正常 ,IKE 协议 报 
文 (UDP 端口 500 或 者 4500) 能 够 正常 交互 。 先 查看 两 端 VPN 设备 的 路 由 或 者 通过 ping 等 
手段 测试 网 络 互 通 情 况 ,然后 检查 对 端 设备 及 中 间 防 火 墙 的 配置 确保 UDP 500 或 者 4500 端 
口 开 放 。 在 本 地 可 以 通过 抓 包 或 者 debug IKE 的 方法 确认 是 否 收 到 对 端 设备 发 送 的 IKE 报 
文 ,但 是 如 果 设 备 配 置 多 个 IKE Peer 时 ,不 建议 采用 debug IKE 的 方法 。 


命令 : ping x.x. x.x 


<H3C>ping60.191.99.142 
PING60.191.99.142: 56 data bytes, press CTRL_C to break 
Reply from60.191.99.142: bytes=56 Sequence 一 0 ttl=255 time=1 ms 
Reply from60.191.99.142: bytes=56 Sequence 一 1 ttl=255 time=1 ms 
Reply from60.191.99.142: bytes=56 Sequence=2 ttl 一 255 time=1 ms 


(2) 检查 公 网 路 由 

如 果 不 能 ping 通 隧道 对 端 地 址 ,或 者 无 法 收 到 对 端 发 送 的 IKE 报 文 ,需要 检查 两 端 设备 
之 间 的 路 由 和 安全 策略 配置 。 不 同 设备 的 安全 策略 配置 不 同 ,具体 参考 对 应 设备 的 配置 手册 。 

MS: display ib routing-table z. z. z. zr 


例如 : 通过 命令 查看 本 地 设备 到 达 隧 道 对 端 地 址 60. 191. 99. 142 的 路 由 是 否 正常 。 


<H3C>-display ip routing-table 60.191.99.142 

Routing Table : Public 

Summary Count : 1 

Destination/Mask Proto Pre Cost NextHop Interface 
60.191.99.0/24 Direct 0 0 60.191.99.141 GE0/1 


(3) 查看 IPSec SA 

如 果 IPSec SA 是 通过 手工 建立 的 ,需要 仔细 查看 两 端 设备 SA 的 相关 参数 配置 是 否 正 
确 , 如 果 IPSec SA 是 通过 IKE 协议 动态 协商 的 ,那么 需要 查看 两 端 IPSec SA 是 否 已 经 建立 ， 
并 检查 两 端 SA 的 SPI,\ 保 护 的 数据 流 等 信息 是 否 匹配 。 正 常情 况 下 两 端 设备 的 Inbound 和 
Outbound SA 是 相互 对 应 的 ,保护 数据 流 (flow) 的 源 目的 地 址 也 是 相反 的 。 

MS: display ipsec sa {brief|remote} 

例如 : 通过 命令 查看 ,可 以 确认 IPSec VPN 的 SA 已 经 正常 建立 ,SPI 和 保护 的 数据 流 
(FLOW) 都 是 正确 的 。 


421 


[H3C] display ipsec sa 
Interface: GigabitEthernet0/1 
path MTU: 1500 


IPsec policy name: "ipsecvpn" 
sequence number: 1 
acl version: ACL4 
mode: isakmp 
connection id: 8 
encapsulation mode: tunnel 
perfect forward secrecy: 
tunnel: 
local address: 60.191.99.141 
remote address: 60.191.99.142 
flow: 
sour addr: 192.168. 1.0/255.255.255.0 port: 0 protocol: IP 
dest addr: 192. 168.2.0/255.255.255.0 port: 0 protocol: IP 


[inbound ESP SAs] 
spi: 1893507505 (0x70dcalbl) 
proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1 
sa duration (kilobytes/sec): 1843200/3600 
sa remaining duration (kilobytes/sec): 1843159/2953 
max sequence number received: 641 
anti-replay check enable: Y 
anti-replay window size: 32 
udp encapsulation used for nat traversal: N 


[outbound ESP SAs] 
spi: 438707633 (0x1a2625b1) 
proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1 
sa duration (kilobytes/sec): 1843200/3600 
sa remaining duration (kilobytes/sec): 1843159/2953 
max sequence number sent: 642 
udp encapsulation used for nat traversal: N 


(4) 查看 IKE SA 
查看 VPN 设备 上 IKE 第 一 阶段 和 第 二 阶段 SA 是 否 建 立正 常 。 
命令 : display ike sa {verbose} 


例如 : 通过 命令 查看 ,可 以 确认 IKE 第 一 阶段 和 第 二 阶段 的 SA 已 经 正常 建立 。 


[H3C]display ike sa 
total phase-1 SAs: 1 


connection-id peer flag phase doi 
58 60.191.99.142 RD 1 IPSEC 
59 60.191.99.142 RD 2 IPSEC 


flag meaning 
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
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(5) 检查 IKE 配置 
检查 VPN 隧道 两 端 设 备 IKE 相关 配置 是 否 正确 ,包括 ike local-name, ike proposal 以 及 
ike peer 等 配置 。 
MA: display current-configuration/include ike 
display ike proposal 
diplay ike peer 
例如 : 通过 命令 查看 ike local-name.ike proposal.ike peer 等 相关 配置 是 否 正 确 。 


[H3C] display current-configuration| include ike 

# 

ike local-name beijing 

# 

[H3C]display ike proposal 

priority authentication authentication encryption Diffie-Hellman duration 


method algorithm algorithm group (seconds) 
:| PRE SHARED MD5 3DES_CBC MODP_768 86400 
default PRE_SHARED SHA DES_CBC MODP_768 86400 


[H3C] display ike peer 
IKE Peer: hangzhou 
exchange mode: aggressive on phase 1 
proposal: 1 
pre-shared-key ****** 
peer id type: name 
peer ip address: 60.191.99.142 
local ip address: 
peer name: hangzhou 
nat traversal: enable 


dpd: 


(6) 检查 IPSec 配置 
查看 隧道 两 端 设 备 IPSec 策略 的 封装 模式 .加 密 及 认证 方式 是 否 一 致 ,保护 的 数据 流 是 否 
对 应 ,以 及 IPSec 策略 是 否 正确 下 发 等 内 容 。 
MS: display acl number 
display ipsec trans form-set 
display ipsec policy 
display current-con figuration inter face inter face-type inter face-number 


例如 : 通过 命令 查看 IPSec 的 ACL 安全 协议 ,加密 认证 算法 等 相关 配置 。 


[H3C] display acl 3000 

Advanced ACL 3000, named -none-, 1 rule, 

ACL's step is 5 

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255(10 times matched) 
[H3C] display ipsec transform-set 


IPsec transform-set name: bjhz 
encapsulation mode: tunnel 
ESN : disable 
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ESN scheme: NO 
transform: esp-new 
ESP protocol: 
Integrity: shal-hmac-96 
Encryption: 3des 
[H3C]display ipsec policy 
IPsec Policy Group: "ipsecvpn" 
Interface: GigabitEthernet0/1 


IPsec policy name: "ipsecvpn" 
sequence number: 1 
acl version: ACL4 
mode: isakmp 
Security data flow : 3000 
selector mode: standard 
ike-peer name: hangzhou 
perfect forward secrecy: 
transformrset name: bjhz 
synchronization inbound anti-replay-interval: 1000 packets 
synchronization outbound anti-replay-interval: 100000 packets 
IPsec sa local duration(time based): 3600 seconds 
IPsec sa local duration(traffic based): 1843200 kilobytes 
policy enable: True 
tfc enable: False 
[H3C] display current-configuration interface GigabitEthernet 0/1 
# 
interface GigabitEthernet0/1 
port link-mode route 
ip address 60.191.99.141 255.255.255.0 
ipsec policy ipsecvpn 
# 


(7) 检查 私 网 路 由 

私 网 路 由 就 是 指 被 IPSec VPN 保护 的 数据 流 的 路 由 ,主要 是 查看 两 端 VPN 设备 到 站 点 之 
间 的 路 由 是 否 正 常 ,VPN 设备 上 到 对 端 私 网 的 路 由 是 否 从 配置 IPSec 策略 的 接口 出 去 等 信息 。 

MS: display ip routing-table 

例如 : 通过 命令 查看 ,可 以 确认 VPN 设备 到 达 本 端 私 网 网 段 192. 168. 1. 0/24 的 路 由 正 
常 , 到 达 对 端 私 网 网 段 192. 168. 2. 0/24 的 路 由 也 已 经 存在 ,而 且 出 接口 就 是 下 发 IPSec VPN 


策略 的 接口 。 
[H3C]display ip routing-table 
Routing Tables: Public 

Destinations : 7 Routes :7 

Destination/ Mask Proto Pre Cost NextHop Interface 
60.191.99.0/24 Direct 0 0 60.191.99.141 GE0/1 
60.191.99.141/32 Direct 0 0 127.0.0.1 InLoop0 
192.168.1.0/24 Direct 0 0 192.168.1.1 GE0/2 
192.168.1.1/32 Direct 0 0 127.0.0.1 InLoop0 
192.168.2.0/24 Static 60 0 60.191.99.142 GE0/1 
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(8) 检查 域 间 策 略 或 者 包 过 滤 配 置 

在 某 些 情况 下 有 可 能 会 在 设备 上 配置 IPSec VPN 的 同时 也 配置 了 相关 包 过 滤 或 者 域 间 
策略 等 功能 ,为 了 保证 IPSec VPN 隧道 能 够 正常 建立 和 通信 ,需要 在 配置 包 过 滤 策略 时 允许 
IPSec VPN 的 协议 报 文 以 及 加 解密 后 的 数据 报 文通 过 。 

命令 ; display current-con figuration 

例如 : 以 防火 墙 为 例 , 设 备 配置 了 Untrust 到 Trust 的 域 间 策 略 并 允许 所 有 报 文通 过 ,所 
以 不 会 阻 断 IPSec VPN 的 协议 报 文 及 加 密 后 的 数据 报 文 。 


[H3C]display current-configuration 
# 
vd Root id 1 
# 
zone name Trust id 2 
priority 85 
import interface GigabitEthernet0/2 
zone name DMZ id 3 
priority 50 
zone name Untrust id 4 
priority 5 
import interface GigabitEthernet0/1 
switchto vd Root 
interzone source Untrust destination Trust 
rule 0 permit 
source-ip any_address 
destination-ip any_address 
service any_service 
rule enable 


# 


一 一 表示 上 - 步 结果 名 


=-==》 表示 上 一步 结果 出 现 问题 


PKI kÈ HE 


是 否 使 用 
设备 忠 省 证 书 


* 


检查 pkI 相 关 配 置 


检查 cAwlecal 证 书 


铅 证 书 服 务 器 
重新 申请 新 证 书 


FO Birov EPEAN 
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06 安全 产品 6.1.2 PKI 故障 排查 步骤 详解 


1. 开始 
PKI 问题 定位 故障 的 思路 是 : 依次 检查 系统 时 间 、 本 地 公私 钥 对 、PKI 相关 配置 是 否 正 
确 , 然 后 检查 系统 是 否 获 得 了 正确 的 CA/Local 证 书 , 若 没有 获得 证 书 则 应 重新 向 CA/RA JR 
务 器 进行 申请 。 若 客户 没有 CA/RA 服务 器 ,希望 直接 使 用 设备 默认 的 数字 证 书 , 则 可 以 检查 
设备 系统 默认 证 书 是 否 已 经 生成 且 有 效 。 
2. 流程 图 相关 操作 说 明 
(1) 检查 系统 时 间 
查看 设备 的 当前 系统 时 间 、 时 区 等 设备 是 否 正 确 。 
MA: display clock 
例如 : 通过 命令 查看 当前 设备 的 系统 时 间 是 否 正确 。 
<H3C> display clock 


09:34:11Beijing Fri 05/03/2013 
Time Zone :Beijing add 08:00:00 


车 系统 时 间 不 正确 应 该 立即 调整 ,建议 启用 NTP 服务 为 设备 实时 同步 时 钟 。 
命令 : clock datetime xx xx sxxx /zz/ zz 


例如 : 通过 命令 设置 系统 时 间 。 
<H3C> clock datetime 10:12 2013/05/03 


(2) 检查 本 地 非 对 称 密 钥 对 

查看 本 端 设备 当前 是 否 存在 本 地 RSA/DSA 非 对 称 密 钥 对 。 

命令 : display public-key local rsa public 

若 执行 命令 后 ,命令 行 界面 上 无 任何 对 应 输出 , 则 说 明 系 统 当前 没有 生成 相应 的 非 对 称 密 
钥 对 。 应 当 手 工 操作 重新 生成 或 通过 导入 携带 私 钥 的 证 书 获取 。 

例如 : 通过 命令 查看 当前 设备 的 RSA 密 钥 对 。 


<H3C>display public-key local rsa public 


Time of Key pair created: 03:11:19 2013/05/02 
Key name: HOST_KEY 
Key type: RSA Encryption Key 


Time of Key pair created: 03:11:21 2013/05/02 
Key name: SERVER_KEY 
Key type: RSA Encryption Key 
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Key code: 


(3) 检查 PKI 相关 配置 


系统 中 的 PKI 相关 配置 主要 分 为 两 大 部 分 : PKI 实体 配置 .PKI 域 配 置 。 排 错过 程 中 ,可 
依据 配置 需求 ,对 照 用 户 手册 检查 各 项 配置 是 否 完整 。 

O PKI 实体 主要 配置 项 为 通用 名 、FQDN email address 等 ,建议 根据 实际 情况 完整 配置 
各 属性 值 。 

命令 : display current-con figuration con figuration pki-entity 


例如 : 通过 命令 查看 PKI 实体 “aaa” 的 配置 是 否 正确 。 


<H3C> dis current-configuration configuration pki-entity 


# 
pki entity aaa 
common-name firewall 


# 


© PKI 域 主要 配置 项 为 信任 的 CA 名 、 指 定 PKI 实体 名 、 证 书 申请 的 注册 受理 机 构 、 注 册 
服务 器 URL 等 , 若 组 网 环境 中 无 CRL 验证 条 件 , 需 在 PKI 域 中 配置 禁用 CRL 验证 。 
MẸ: display current-con figuration con figuration pki-domain 


例如 : 通过 命令 查看 PKI 域 “torsa” 的 配置 是 否 正确 。 


<H3C> display current-configuration configuration pki-domain 


# 
pki domain torsa 
ca identifier myca 
certificate request url http: //1.1.1.1:8080/certsrv/mscep/mscep. dll 
certificate request from ra 


certificate request entity aaa 
# 


说 明 : 当 采 用 Windows Server 作为 CA 时 ,需要 安装 SCEP 插件 ,配置 PKI domain 时 需 
要 使 用 certificate request from ra 命令 指定 实体 从 RA 注册 申请 证 书 ; 当 采 用 RSA Keon 软 
件 时 ,不 需要 安装 SCEP 插件 ,配置 PKI domain 时 需要 使 用 certificate request from ca 命令 指 
定 实体 从 CA 注册 申请 证 书 。 

(4) 检查 CA/Local 证 书 

O 在 确认 配置 无 误 的 前 提 下 ,可 通过 display 命令 查看 相应 PKI 域 当前 是 否 有 CA/Local 
证 书 。 
MS: display pki certificate ca domain torsa 


例如 : 通过 命令 检查 PKI 域 “torsa" 所 对 应 的 CA 证 书 是 否 存 在 。 


[H3C] display pki certificate ca domain torsa 
Certificate: 


Data: 


Issuer: 
CN 一 myca 
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Validity 
Not Before: Nov 9 01:48:34 2007 GMT 
Not After : Nov 9 01:48:34 2017 GMT 
Subject: 
CN= myca 


@ 系统 支持 通过 命令 在 本 地 对 证 书 进行 即时 验证 ,以 帮助 网 络 管理 员 判 断 数字 证 书 是 否 
合法 有 效 。 如 果 CA/Local 证 书 不 能 通过 系统 验证 , 则 必须 重新 申请 有 效 证 书 。 
命令 : pki validate-certificate ca domain torsa 


例如 : 通过 验证 命令 检查 PKI 域 “default” 所 对 应 的 CA 证 书 是 否 有 效 。 


[H3C] pki validate-certificate ca domain torsa 
Verifying certificate... 
Serial Number: 
4D6D8894 4303D582 4385962F A336BE22 


Issuer: 

CN= myca 
Subject: 

CN= myca 


Verify result: ok 


(5) 向 证 书 服务 器 重新 申请 新 证 书 

若 系统 当前 PKI 域 所 使 用 的 CA/Local 证 书 因 超期 、 私 钥 泄 露 等 原因 无 效 , 则 应 重新 向 
证 书 服务 器 申请 新 证 书 。 建 议 在 重新 申请 证 书 前 , 先 为 设备 重新 生成 新 的 本 地 非 对 称 密 
钥 对 。 

O 若 CA 服务 器 与 设备 IP 可 达 , 可 以 直接 在 线 申 请 并 获取 证 书 。 申 请 成 功 后 将 CA/ 
Local 证 书 通过 IP 网 络 直接 下 载 至 本 地 PKI 域 。 若 服务 器 没有 部 署 自动 颁发 证 书 机 制 , 则 在 
线 申 请 证 书后 还 需 服务 器 侧 操作 为 该 次 申请 颁发 证 书 ( 具 体操 作 方 式 需 查 看 服务 器 相关 说 
明 )。 索 取证 书 时 要 注意 顺序 , 先 下 载 CA 证 书 , 然 后 再 下 载 Local 证 书 。 

命令 : pkiretrieval-certificate { ca | local } domain XXX 

pki request-certi ficate domain torsa challenge-word 


例如 : 设备 通过 在 线 方 式 直接 向 CA 服务 器 发 起 证 书 申请 ,服务 器 颁发 证 书后 下 载 至 本 
也 PKI 域 “torsa”。 


[H3C] pki retrieval-certificate ca domain torsa 

Retrieving CA/RA certificates. Please wait a while... 

The trusted CA's finger print is: 

MD5 fingerprint:766C D2C8 9E46 845B 4DCE 439C 1C1F 83AB 

SHA1 fingerprint:97E5 DDED AB39 3141 75FB DB5C E7F8 D7D7 7C9B 97B4 
Is the finger print correct? (Y/N): y 

Saving CA/RA certificates chain, please wait a moment... 

CA certificates retrieval success. 


[H3C] pki request-certificate domain torsa challenge_word 
Certificate is being requested, please wait... 


Enrolling the local certificate, please wait a while... 
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Certificate request successfully! 
Saving the local certificate to device... 
Done! 


© # CA 服务 器 与 设备 间 无 法 通过 IP 网 络 互通 , 则 可 以 通过 离线 申请 方式 ,将 设备 上 生 
成 的 pkcs10 格式 的 证 书 申请 带 外 传递 到 服务 器 上 ; 待 CA 服务 器 成 功 颁发 证 书后 ,再 通过 带 
外 方式 将 证 书 上 传 回 设备 存储 介质 ,然后 再 通过 命令 导入 PKI 域 ,在 导入 时 要 注意 选择 正确 
的 证 书 文件 格式 。 

命令 : pki import-certificate { ca | local } domain torsa der filename myca. cer 


例如 : 通过 命令 将 以 带 外 方式 上 传 至 设备 存储 介质 的 数字 证 书 导 入 PKI W“ torsa”. 


[H3C] pki import-certificate ca domain torsa der filename myca. cer 
Importing certificates. Please wait a while... 


The trusted CA's finger print is: 
MD5 fingerprint:9B23 87B8 96FF BEC5 EE9D 03D0 6586 A8F1 
SHA1 fingerprint:15D0 859F A5D6 9F20 7913 09BB E002 3215 B7AA DD60 


Is the finger print correct? (Y/N): y 
% Nov 12 16: 53: 47: 889 2007 H3C PKI/4/Verify _ CA _ Root _ Cert: CA root certificate of thel 


domaintorsa is trusted... 
Import CA certificate successfully. 


(6) 检查 设备 默认 证 书 

设备 以 默认 的 空 配置 首次 启动 时 会 自动 创建 本 地 非 对称 密 钥 对 ,并 生成 与 默认 的 PKI 域 
“default” 相 对 应 的 CA、Local 证 书 。 可 通过 命令 检查 默认 证 书 是 否 已 经 创建 。 

命令 : display pki certificate ca domain default 

例如 : 通过 命令 查看 默认 CA 证 书 , 其 CN 名 通常 为 "cademo”, 有 效 期 一 般 为 10 年 。 


<H3C>display pki certificate ca domain default 
Certificate: 
Data: 


Issuer: 
CN= cademo 
Validity 
Not Before: Nov 9 01:48:34 2007 GMT 
Not After : Nov 9 01:48:34 2017 GMT 
Subject: 
CN= cademo 


例如 : 通过 命令 查看 默认 Local 证 书 ,其 CN 名 通常 为 “cademo”, 有 效 期 一 般 为 10 年 。 


<H3C>display pki certificate local domain default 
Certificate: 
Data: 


Issuer: 
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er Sy SRB 


1. 开始 

OAA 架构 通过 ACFP 联动 实现 ,ACFP 联动 提供 了 一 套 机 制 , 使 得 Secblade IPS/ACG 
通过 向 交换 机 下 发 联动 策略 规则 ,将 交换 机 的 流量 重 定向 或 镜像 到 SecBlade IPS/ACG ,完成 
处 理 后 再 返回 给 交换 机 或 丢弃 。OAA 问题 定位 故障 的 思路 是 : 首先 是 保证 ACFP 联动 成 功 ， 
其 次 是 保证 联动 策略 和 联动 规则 的 正确 下 发 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 ACFP 连通 性 

登录 ACFP Client 设备 Web 页 面 ,进入 菜单 , 单 击 “ 系 统管 理 ”>“ 网 络 管理 ”>“ACFP 
Client 配置 "命令 , 单 击 “ 连 通 性 测试 "按钮 ,如 图 6-1 所 示 。 
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图 6-1 ACFP Client 配置 


(2) 检查 ACSEI Client 状态 
查看 acsei client 是 否 正 确 注册 。 
MS: display acsei client info 


例如 : 通过 命令 查看 ,可 以 确认 acsei client 已 正确 注册 。 


<H3C>display acsei client info 
Total Client Number:1 
Client ID:2 
Client Description: Intrusion Prevention System 
Hardware: 2.0 
System Software: i-Ware software, Version 1.10 
Application Software: Ess 2113P03 
CPU: RMI XLR732 
PCB Version: Ver. A 
CPLD Version: 2.0 
Bootrom Version: 1.19 
Storage Card: 999MB 
Memory: 2002MB 
Harddisk: OMB 
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(3) 检查 ACSEI Server 相关 配置 
OD 检查 交换 机 上 是 否 配 置 了 命令 acsei server enable, 


[H3C] display current-configuration | include acsei 
acsei server enable 


O 检查 内 联 口 是 否 配 置 扩展 模式 ,以 S7500E 为 例 ( 其 他 交换 机 配置 请 参照 相关 文档 ) 。 


[H3C] display current-configuration interface Ten-GigabitEthernet 3/0/1 
# 
interface Ten-GigabitEthernet3/0/1 

port link-mode bridge 

port link-type trunk 

port trunk permit vlan all 

port trunk pvid vlan 4000 

port connection-mode extend 

stp disable 

mac-address mac-learning disable 


# 


(4) 查看 ACFP Server 状态 

查看 ACFP Server 状态 。 

命令 : display acfp server-info 

例如 : 通过 命令 查看 ,可 以 确认 ACFP Server 状态 是 否 正常 。 


<H3C>display acfp server-info 


Server-Info: ipserver redirect mirror 
Max Life-Time: 2147483647(s) 
PersistentRules: false 

ContextType: HGPlus-context 


(5) 检查 ACFP Server 配置 
检查 交换 机 上 是 否 配 置 命令 : acfp server enable, 


<H3C>display current-configuration | include acfp 
acfp server enable 


(6) 查看 ACFP Client 状态 

查看 ACFP Client 状态 。 

MS: display acfp client-info 

例如 : 通过 命令 查看 ,可 以 确认 ACFP Client 状态 是 否 正常 。 


<H3C> display acfp client-info 

ACFP client total number: 1 

ClientID: 2 

Description: Application Control Gateway 
Hw-Info: 2.0 

OS-Info: i-Ware software, Version 1.10 
App-Info: Ess 2113P03 

Client IP: 172.31.255.11 

Client Mode: redirect mirror 
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(7) 检查 ACFP 相关 配置 

确认 ACFP Server 与 ACFP Client 通信 VLAN 地 址 是 否 能 ping 通 , 并 查看 相关 配置 是 
否 都 配置 正确 。 

例如 : 通过 命令 ping 查看 通信 VLAN 连通 性 。 


<H3C> ping 172.31.255.11 
PING 172.31.255.11: 56 data bytes, press CTRL_C to break 
Reply from 172.31.255.11: bytes=56 Sequence=0 ttl=64 time=2 ms 
Reply from 172.31.255.11: bytes=56 Sequence=1 ttl=64 time=1 ms 


O 检查 交换 机 配置 ,包括 SNMP 配置 .内 连 口 配置 .mib-style 等 ,以 S7500E 为 例 ( 其 他 交 
换 机 配置 略 有 差别 ,请 参照 相关 文档 ) 。 


<H3C>display current-configuration | include samp 
snmp-agent 
snmp-agent local-engineid 800063A2033CE5A682C521 
snmp-agent sys-info version v3 
snmp-agent group v3 v3group_no read-view iso write-view iso notify-view iso 
snmp-agent mib-view included iso iso 
snmp-agent usm-user v3 v3user_no v3group_no 


<H3C>display current-configuration interface Ten-GigabitEthernet 4/0/1 
# 
interface Ten-GigabitEthernet4/0/1 
port link-mode bridge 
port link-type trunk 
port trunk permit vlan all 
port trunk pvid vlan 4000 
port connection-mode extend 
stp disable 
mac-address mac-learning disable 
# 
<H3C>display mib-style 
Current MIB style: new 
Next reboot MIB style: new // 该 配置 配置 完成 后 需要 重启 设备 生效 


<H3C>display current-configuration | include switch-mode 


switch-mode 12-enhanced // 该 配置 配置 完成 后 需要 重启 设备 生效 


© 检查 ACFP Client 配置 ,如 图 6-2 所 示 。 
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Server 安全 用 户 名 与 交换 机 上 SNMP 配置 保持 一 致 。 


snmp-agent usm-user v3 v3user no v3group_no 


Server IP 地 址 和 vlan 与 交换 机 上 通信 vlan 配置 保持 一 致 。 


interface Vlan-interface 4000 
ip address 172.31.255.1 255.255.255.0 


Client IP 地 址 与 Server IP 地 址 配置 在 同一 网 段 。 
(8) 查看 ACFP 策略 下 发 和 规则 下 发 状态 

查看 ACFP 策略 下 发 和 规则 下 发 状态 。 

MS: display acfp policy-info 


display acfp rule-info inter face inter face-type interfacenumber 


例如 : 通过 命令 查看 ,可 以 确认 ACFP 策略 和 规则 已 经 正确 下 发 。 


[S7500E] display acfp policy-info 
ACFP policy total number: 1 


ClientID: 2 Policy-Index: 1 

Rule-Num: 1 ContextID: 2050 
Exist-Time: 17320(s) Life-Time: 2147483647(s) 
Start-Time: 00:00:00 End-Time: 24:00:00 
Admin-Status: enable Effect-Status: active 
DstIfFailAction: delete Priority: 4 

In-Interface: GigabitEthernet2/0/1 

Out-Interface: 

Dest-Interface: Ten-GigabitEthernet3/0/1 

[S7500E]display acfp rule-info interface GigabitEthernet 2/0/1 


In-Interface: GigabitEthernet2/0/1 
ACFP rule total number: 1 


ClientID:2 
StartVLAN: 1001 
TypeOrLen:2048 
Action: redirect 


Policy-Index:1 Rule-Index:1 


EndVLAN: 1001 


Status:active 


OperationStatus : succeeded 


(9) 检查 联动 策略 和 规则 
D 检查 联动 策略 是 否 正确 配置 ,内 外 部 域 接口 分 别 配 置 对 应 策略 ， 


如 图 6-3 所 示 。 
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图 6-3 ACFP 联动 策略 (1) 
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@ 检查 联动 规则 是 否 正 确 配置 ,每 个 联动 策略 必须 配置 联动 规则 引流 才能 生效 ,如 图 6-4 
所 示 。 
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6-4 ACFP 联动 策略 (2) 
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1. 开始 

SSH 是 Secure Shell( 安 全 外 壳 ) 的 简称 。 用 户 通过 一 个 不 能 保证 安全 的 网 络 环境 远程 登 
录 到 设备 时 ,SSH 可 以 利用 加 密 和 强大 的 认证 功能 提供 安全 保障 ,保护 设备 不 受 诸如 IP 地 址 
欺诈 .明文 密码 截取 等 攻击 。 

设备 既 可 以 作为 SSH 服务 器 ,又 可 以 作为 SSH 客户 端 ,所 以 排查 故障 的 基本 思路 是 : 先 
判断 设备 是 SSH 客户 端 还 是 服务 器 ,然后 再 检查 设备 基本 配置 ,最 后 检查 设备 公 钥 和 证 书 等 
信息 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 SSH 服务 器 状态 

如 果 设 备 作为 SSH 服务 器 ,需要 先 查看 SSH 服务 器 是 否 使 能 。 

命令 : display ssh server status 


例如 : 通过 命令 查看 ,可 以 确认 设备 已 经 使 能 SSH 服务 器 。 


<H3C>display ssh server status 
SSH server: Enable 
SSH version : 1.99 
SSH authentication-timeout : 60 second(s) 
SSH server key generating interval : 0 hour(s) 
SSH authentication retries : 3 time(s) 
SFTP server: Disable 
SFTP server Idle-Timeout: 10 minute(s) 


(2) 检查 SSH 服务 器 基本 配置 

O 检查 服务 器 的 用 户 登 录 界 面 。SSH 客户 端 通过 VTY 用 户 界面 访问 设备 。 因 此 ,需要 
配置 SSH 客户 端 登录 时 采用 的 VTY 用 户 界 面 ,使 其 支持 SSH 远程 登录 协议 。 配 置 结果 在 
客户 端 下 次 请 求 登 录 时 生效 。 

命令 : display current-con figuration | begin vty 

例如 : 通过 命令 查看 ,可 以 确认 是 否 配置 了 VTY 认证 方式 .支持 的 协议 以 及 访问 命令 级 
别 , 另 外 若是 本 地 认证 , 弓 忘 添加 本 地 用 户 。 


<H3C>4isplay current-configuration | begin vty 
user-interface vty 0 4 

authentication-mode scheme 

user privilege level 3 

protocol inbound ssh 


@ 检查 用 户 服务 类 型 和 认证 方式 。 检 查 用 户 的 服务 类 型 和 认证 方式 是 否 正确 。 
命令 : display ssh user-information 


例如 : 通过 命令 查看 ,SSH 用 户 信息 。 
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[H3C] display ssh user-information 

Total ssh users:1 
Username Authentication-type User-public-key-name Service-type 
h3c password null stelnet 


(3) 检查 密 钥 对 

检查 密 钥 对 是 否 生成 。 虽 然 一 个 客户 端 只 会 采用 DSA 和 RSA 公 钥 算法 中 的 一 种 来 认证 
服务 器 ,但 由 于 不 同 客户 端 支持 的 公 钥 算法 不 同 , 建 议 在 服务 器 上 生成 DSA 和 RSA 两 种 密 
钥 对 。 

MA: display public-key local dsa /rsa public 

例如 : 通过 命令 查看 ,可 以 确认 设备 是 否 已 经 生成 需要 的 密 钥 对 。 


<H3C>display public-key local dsa public 

Time of Key pair created: 17:58:18 2013/05/06 
Key name: HOST_KEY 

Key type: DSA Encryption Key 


Key code: 
308201B73082012C06072A8648CE3804013082011F02818100D757262C4584C44 


< H3C>4isplay public-key local rsa public 

Time of Key pair created: 17:57:35 2013/05/06 
Key name: HOST_KEY 

Key type: RSA Encryption Key 


Key code: 
B201 


Time of Key pair created: 17:57:40 2013/05/06 

Key name: SERVER_KEY 

Key type: RSA Encryption Key 

Key code: 
307C300D06092A864886F70D0101010500036B003068026100C7FDFDB 
1E05E1D7846F5464A900B8418CF 


(4) 设置 密 钥 对 

生成 RSA 密 钥 对 时 ,将 同时 生成 两 个 密 钥 对 一 一 服务 器 密 钥 对 和 主机 密 钥 对 ; 生成 DSA 
密 钥 对 时 ,只 生成 一 个 主机 密 钥 对 。 

在 检查 和 设置 密 钥 对 过 程 中 ,如 果 有 密 角 方面 的 问题 ,可 以 查阅 相关 云图 或 咨询 技术 
客服 。 


命令 : publickey local create dsa/rsa 


[H3C]public-key local create dsa 
The range of public key size is (512 — 2048). 
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NOTES: If the key modulus is greater than 512, 
It will take a few minutes. 

Press CTRL+C to abort. 

Input the bits of the modulus[default = 1024]: 
Generating Keys... 

站 

[H3C]public-key local create rsa 

The range of public key size is (512 — 2048). 
NOTES: If the key modulus is greater than 512, 
It will take a few minutes. 

Press CTRL+C to abort. 

Input the bits of the modulus[default = 1024]: 
Generating Keys... 

bk 


(5) 检查 客户 端 公 钥 ( 仅 对 Publickey 认证 ) 

Publickey 认证 需要 将 客户 端 产生 的 公 钥 配置 在 服务 器 上 ,SSH 客户 端 使 用 SSH 客户 端 
软件 生成 RSA 密 钥 对 ,将 生成 的 RSA 公 钥 保存 到 指定 文件 中 ,并 将 此 公 钥 文件 通过 FTP/ 
TFTP 方式 上 传 并 导入 到 服务 器 ,服务 器 可 以 通过 命令 查看 是 否 存在 登录 客户 端 公 钥 。 

MA: display public-key peer brief 

例如 : 通过 命令 确认 已 经 存在 客户 端的 公 钥 对 。 


<H3C> display public-key peer brief 
Type Module Name 


DSA 1024 10.1.1.1 


在 服务 器 上 检查 客户 端 公 钥 配置 ,命令 如 下 。 


<H3C> display current-configuration | include public-key peer 
public-key peerClientl import sshkey 10.1.1.1 


(6) 检查 客户 端 是 否 首次 认证 

如 果 设 备 作为 SSH 客户 端 , 先 检查 设备 是 否 支持 首次 认证 ,如 果 支 持 首次 认证 , 则 当 
SSH 客户 端 首次 访问 服务 器 ,而 客户 端 没 有 配置 服务 器 端的 主机 公 钥 时 ,用 户 可 以 选择 继续 
访问 该 服务 器 ,并 在 客户 端 保存 该 主机 公 钥 ; 当 用 户 下 次 访问 该 服务 器 时 ,就 以 保存 的 主机 公 
钥 来 认证 该 服务 器 。 

如 果 不 支 持 首次 认证 , 则 当 客户 端 没 有 配置 服务 器 端的 主机 公 钥 时 ,客户 端 将 拒绝 访问 该 
服务 器 。 用 户 必 须 事先 将 要 访问 的 服务 器 端的 主机 公 钥 配置 在 本 地 ,同时 指定 要 连接 的 服务 
器 端的 主机 公 钥 名 称 ,以便 客户 端 对 连接 的 服务 器 进行 认证 。 

命令 : undo client first-time 

ssh client first-time enable 

例如 : 客户 端 支持 首次 认证 , 则 可 以 直接 与 服务 器 建立 连接 。 客 户 端 不 支持 首次 认证 , 则 

需要 关闭 客户 端 首次 认证 。 若 要 开启 ,需要 输入 命令 ssh client first-time enable, 
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[H3C] undo ssh client first-time 
[H3C] ssh client first-time enable 


(7) 检查 客户 端 配 置 
检查 客户 端 是 否 配置 服务 器 公 钥 并 与 服务 器 地 址 绑 定 。 
命令 : display public-key peer 
display current-con figuration | include ssh client authentication 
例如 : 在 公共 密 钥 编辑 视图 输入 服务 器 端的 主机 公 钥 , 即 在 服务 器 端 通过 display public- 
key local dsa public 命令 显示 的 公 钥 内 容 , 然 后 指定 服务 器 对 应 的 主机 公 钥 名 。 


<H3C>display public-key peer 

Key Name : keyl 

Key Type : DSA 

Key Module : 1024 
Key Code: 
308201B73082012C06072A8648CE3804013082... 


<H3C>display current-configuration | include ssh client authentication 
ssh client authentication server 10.1.1.1 assign publickey key1 


(8) 检查 SSH 服务 器 端 公 钥 配 置 (Publickey 认证 ) 
若 设备 SSH 作为 客户 端 并 且 采 用 Publickey 认证 ,需要 生成 本 地 密 钥 对 ,然后 将 生成 的 
主机 公 钥 导出 到 指定 文件 上 传 并 导入 到 服务 器 。 
MA: display public-key local dsa public 
display current-con figuration | include public-key peer 
例如 : 在 客户 端 生成 公 钥 ,public-key local create dsa ,并 将 公 钥 导出 到 指定 文件 并 上 传 到 
服务 器 上 ,同时 在 服务 器 配置 SSH 客户 端 公 钥 。 


客户 端 上 

<H3C>display public-key local dsa public 

Time of Key pair created: 03:33:04 2013/06/24 

Key name: HOST_KEY 

Key type: DSA Encryption Key 

Key code: 
308201B83082012C06072A8648CE3804013082011F028181... 


若 要 生成 公 钥 文件 ,命令 如 下 : 
[H3C] public-key local export dsa ssh2 newkey 


服务 器 上 : 
<H3C> display current-configuration | include public-key peer 
public-key peer Clientl import sshkey newkey 


检查 wEB 持 入 


拨打 热线 
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06 安全 产品 6.1.5 SSL VPN 故障 排查 步骤 详解 


1. 开始 

SSL VPN 是 一 种 以 SSL 协议 为 基础 的 移动 VPN 技术 ,用 户 可 以 通过 Web, TCP 和 IP 
三 种 方式 接 入 VPN 并 访问 内 部 网 络 资源 。 

SSL VPN 定位 故障 的 思路 是 : 先 查 看 设备 证 书 .PKI 以 及 SSL 策略 等 配置 是 否 正确 , 青 
查看 VPN 用 户 能 否 正常 登录 、VPN 客户 端 能 否 正常 下 载 并 安装 ,最 后 检查 用 户 访问 的 特定 资 
源 是 否 正常 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 证 书 

分 别 查 看 是 否 存在 SSL VPN 相应 PKI 域 的 CA 证 书 和 LOCAL 证 书 , 且 确认 证 书 没 有 
过 期 。 


命令 : display pki certificate ca domain domain-name 


display pki certificate local domain domain-name 
例如 : 通过 命令 查看 ,可 以 确认 svpndefdom 域 的 CA 证 书 和 LOCAL 证 书 存 在 且 没 有 
过 期 。 


<H3C>display pki certificate ca domain svpndefdom 
Certificate: 
Data: 
Version: 3 (0x2) 
Serial Number: 
5814FC8D CE05DDB1 4C67DAA5 53D54BE2 


Validity 
Not Before: Apr 19 02:05:03 2013 GMT 
Not After : Apr 19 02:14:20 2018 GMT 


<H3C>display pki certificate local domain svpndefdom 
Certificate: 
Data: 
Version: 3 (0x2) 
Serial Number: 
13604616 00000000 0011 


Validity 
Not Before: Apr 22 11:07:31 2013 GMT 
Not After : Apr 22 11:17:31 2014 GMT 


(2) 检查 PKI 和 SSL 策略 

SSL VPN 策略 有 服务 器 策略 ( 必 选 ) 和 客户 端 策略 (可 选 ) ,在 进行 SSL 服务 器 策略 配置 
之 前 ,还 需要 先 配 置 PKI 相关 参数 。 先 检查 PKI 域 和 实体 的 配置 ,然后 检查 SSL 策略 的 
配置 。 
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命令 : pki domain domain-name 
pki entity entity-name 
display web-server webserver-policy-name 
display ssl server-policy sslserver-policy-name 
display current-con figuration | include supn service 


例如 : 通过 命令 查看 PKI 域 和 SSL 策略 的 配置 。 


[H3C]pki domain svpndefdom 
[H3C-pki-domain-svpndefdom] display this 
# 
pki domain svpndefdom 
ca identifier svpn 
certificate request entity svpndefent 
crl check disable 
# 
[H3C] pki entity svpndefent 
[H3C-pki-entity-svpndefent] display this 
# 
pki entity svpndefent 
common-name svpn-gw 
organization-unit security 
organization h3c 
locality beijing 
state beijing 
country cn 
# 
<H3C>display web-server svpndefwsp 
Web server policy name: svpndefwsp 
Port: 443 
SSL server policy: svpndefssp 
Debugging : off 
Operation status : Running 
<H3C>display ssl server-policy svpndefssp 
ssl-policy: svpndefssp 
pki-domain: svpndefdom 
ciphersuite: 


session timeout: 3600 

session cachesize: 2000 

client-verify: weakenabled 

accelerator: use ssl-card 2/0 
<H3C>display current-configuration | include svpn service 
svpn service enable 


(3) 检查 用 户 登 录 

检查 VPN 用 户 的 登录 是 否 正常 ,能 否 获取 到 相应 的 VPN 资源 。 

例如 : 登录 普通 VPN 用 户 (Web-user) ,可 以 正常 获取 到 相应 的 资源 ,如 图 6-5 所 示 。 

(4) 检查 设备 配置 和 浏览 器 设置 

检查 设备 上 用 户 名 ,密码 以 及 所 属 用 户 组 配置 是 否 正确 ,VPN 资源 有 没有 添加 到 相应 的 
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e Web 站 点 
° TCF 应 用 we O 
e IP 网 络 
o 系统 公告 0 条 
图 6-5 普通 VPN 用 户 登 录 
VPN 用 户 组 。 


例如 : 登录 VPN EH B JHJ (administrator) ,查看 用 户 所 属 的 用 户 组 以 及 关联 的 资源 
组 ,如 图 6-6 所 示 。 


F rene es C s> J 


L A jJ 


图 6-6 VPN 管理 员 用 户 登 录 


检查 浏览 器 的 配置 ,ActiveX 控件 是 否 正常 下 载 并 安装 。 确 认 浏 览 器 的 版 本 是 否 在 SSL 
设备 的 支持 范围 内 。 
例如 : IE 浏览 器 安全 配置 中 对 于 ActiveX 控件 的 推荐 配置 ,如 图 6-7 所 示 。 


LE |] 
安全 设置 -本 地 Intranet Ky > “ s 


加 aan Activex 控件 而 不 提示 


a m | , 


# 重 新 启动 Internet Explorer 之 后 生效 


图 6-7 推荐 配置 
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(5) 检查 设备 Web 资源 配置 

对 于 Web 接 入 异常 ,主要 是 打开 Web 资源 页 面 后 ,页 面 里 有 些 链 接 打 不 开 。 需 要 检查 这 
些 链 接 是 否 链接 到 了 别 的 服务 器 上 ,如 果 是 ,需要 将 该 Web 服务 器 也 加 入 到 Web 资源 里 ; 若 
否 ,可 将 该 链接 网 址 加 入 到 站 点 匹配 模式 中 。 

例如 : Web 资源 www. h3c. com. cn 页 面 里 有 链接 到 其 他 网 站 forum. h3c. com, 那 么 就 需 
要 将 后 者 也 加 入 到 Web 资源 里 ,如 图 6-8 所 示 。 


资源 名 称 
系统 管理 Él wwwh3ccomcn http'www.h3c com cny 
用 户 管理 forumh3ccom http:fforum h3ccor 


用 户 组 sa |C m CF | E.: W (RR 


6-8 将 链接 网 址 加 入 站 点 匹配 模式 


(6) 检查 设备 TCP 资源 配置 和 PC 客户 端 安装 情况 

如 果 TCP 接 入 异常 , 先 检查 TCP 资源 配置 是 否 正确 ,用 户 组 是 否 添加 相应 的 TCP 资源 
和 VPN 用 户 ,再 检查 VPN 客户 端的 安装 以 及 本 地 监听 端口 是 否 正常 。 

例如 : 查看 TCP 资源 配置 正确 ,特别 要 注意 端口 和 命令 行 的 配置 ,如 图 6-9 所 示 。 


远程 访问 服务 Web A TILAT 
# ”资源 名 称 ZEHN ESRO 
回 testtcp 192.168.10.1 23 


Notes 服 务 


本 地 主机 本 地 端口 Sfi 
1270010 23 telnet 127.0.0.10 


TCP 服 务 


图 6-9 查看 TCP 资源 配置 


客户 登录 后 查看 VPN 客户 端 已 经 安装 并 且 端 口 监听 正常 ,如 图 6-10 所 示 。 

(7) 检查 设备 IP 资源 配置 和 PC 客户 端 虚 网 卡 安装 情况 

对 于 IP 接 入 异常 , 先 检查 设备 的 IP 网 络 中 全 局 配置 和 主机 配置 ,还 要 检查 用 户 组 是 否 添 
加 相应 的 IP 资源 和 VPN H F: ,再 检查 客户 端 虚 拟 网 卡 安装 是 否 正常 。 

命令 : route print 

例如 : 查看 设备 的 全 局 地 址 池 配 置 ,“ 网 关 地 址 ”不 能 在 “起 始 IP”" 和 “结束 IP” 的 范围 内 ， 
如 图 6-11 所 示 。 

查看 主机 配置 ,添加 了 相应 的 IP 资源 ,如 图 6-12 所 示 。 
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里 SSL VPN 
设备 管理 
Ë 系统 信息 
系统 管理 
用 户 管理 
本 地 用 户 
RESA 
用 户 组 
资源 管理 
上 webR3 站 


6-10 查看 VPN 客户 端 


BHEE 


10.0.0.5 
10.0.0.100 


255.255.255.0 


140.0.0.1 


E 192.168.10.1 


图 6-12 主机 配置 
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在 客户 端 PC 命令 提示 符 (CMD) 中 分 别 输 入 ipconfig /all 和 route print, 可 以 看 到 VPN 
虚 网 卡 、 客 户 端 获取 的 IP 地 址 、SSL IP 地 址 池 的 路 由 和 相应 IP 资源 对 应 的 路 由 。 


C:\Users>ipconfig /all 
以 太 网 适配器 本 地 连接 * 18: 


描述 . . . . . . . . . . . . . :SSLVPN Virtual Network Adapter(CS Support) 
物理 地 址 . . . . . . . . . . . . . : 00-00-00-14-35-22 
DHCP EINIR e a e aym s : 否 
自动 配置 已 户 用 是 
本 地 链接 IPv6 地 址 . . . . . . . . .: fe80::fd11:d374:f454:af7f%26( 首 选 ) 
IPAE o 3 73:10.0:0:5( 首 过 
Sa 958258 2SS:e 
| 
C:\\Users> route print 
IPv4 路 由 表 
活动 路 由 : 
网 络 目标 网 络 掩 码 网 关 接口 路 点 数 
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.2 276 
10.0.0.0 255.255.255.0 WER E 10.0.0.5 276 


192.168.10.0 255.255.255.0 10.0.0.1 10.0.0.5 21 


—} kijat 


===) kit haqayqa 


检查 本 地 
aE ++ jg = SR 


7 


x 


检查 远 mi 
HLA KAN É, 


创建 本 地 
3E st ARX KAST 


配置 远 imit 
AAA 


RIRA 
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06 安全 产品 6.1.6 公 钥 管理 故障 排查 ”上京 详解 


1. 开始 

公 钥 问题 定位 故障 的 思路 是 : 查看 本 地 是 否 创 建生 成 了 符合 要 求 的 非 对 称 密 钥 对 ,对 于 
需要 使 用 远 端 主机 公 钥 的 ,还 需要 进一步 排查 预先 配置 的 远 端 主机 公 钥 信息 是 否 正确 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 本 地 非 对 称 密 钥 对 

查看 本 端 设备 当前 是 否 存 在 本 地 RSA/DSA 密 钥 对 。 

MS: display public-key local rsa public 


display public-key local dsa public 
若 执行 命令 后 ,命令 行 界面 上 无 任何 对 应 输出 , 则 说 明 系 统 当前 没有 生成 相应 的 非 对 称 密 
钥 对 。 
例如 : 通过 命令 查看 当前 设备 的 RSA 密 钥 对 。 


<H3C>display public-key local rsa public 

Time of Key pair created: 03:11:19 2013/05/02 
Key name: HOST_KEY 

Key type: RSA Encryption Key 


Time of Key pair created: 03:11:21 2013/05/02 
Key name: SERVER_KEY 
Key type: RSA Encryption Key 


(2) 检查 远程 主机 公 钥 信息 

查看 本 端 是 否 正确 配置 了 远程 主机 的 公 钥 信息 。 

命令 : display public-key peer name xzxzxz 

例如 : 通过 命令 查看 当前 系统 中 配置 的 名 称 为 “rsa_peer_a” 的 远程 主机 其 RSA 公 


<H3C> display public-key peer name rsa_ peer a 
Key Name :rsa peer a 
Key Type : RSA 
Key Module: 1024 


(3) 创建 本 地 非 对称 密 钥 对 
当 系 统 中 尚未 创建 本 地 密 钥 对 时 ,可 以 直接 在 设备 上 通过 命令 创建 。 
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当 出 现 如 下 几 种 情况 时 ,也 需要 重新 生成 新 的 本 地 密 钥 对 。 

O 本 地 设备 的 私 钥 泄露 。 这 种 情况 下 ,非法 用 户 可 能 会 冒充 本 地 设备 访问 网 络 。 

@ 保存 密 钥 对 的 存储 设备 出 现 故 障 , 导 致 设备 上 没有 公 钥 对 应 的 私 钥 ,无 法 再 利用 旧 的 
非 对 称 密 钥 对 进行 加 /解密 和 数字 签名 。 

© 密 钥 对 使 用 了 较 长 时 间 ,可 能 存在 密 钥 泄露 或 破译 的 风险 。 

@ 本 地 证 书 到 达 有 效 期 ,需要 删除 对 应 的 本 地 密 钥 对 。 

命令 : publickey local create rsa 


publickey local create dsa 


例如 : 通过 命令 创建 模 数 长 度 为 2048 位 的 RSA 公私 钥 对 。 


[H3C] public-key local create rsa 

The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512, 

It will take a few minutes. 

Press CTRL+C to abort. 

Input the bits of the modulus[default = 1024]: 2048 
Generating Keys... 

站 十 十 
下 
二 

E ESA IE EURA 


(4) 配置 远程 主机 公 钥 信息 

当 系 统 其 他 软件 模块 需要 提前 知晓 相关 远程 主机 的 非 对 称 密 钥 公 钥 信息 时 , 需 预 先 配 置 
其 公 钥 信息 。 

配置 远 端 主机 公 钥 的 方式 有 如 下 两 种 。 

D 从 公 钥 文件 中 导入 。 首 先 将 远 端 主 机 的 公 钥 文件 保存 到 本 地 设备 (注意 ,通过 FTP 或 
TFTP 方式 传输 文件 时 ,必须 以 二 进 制 方式 将 远 端 主机 的 公 钥 文件 保存 到 本 地 设备 ) ,然后 从 
该 公 钥 文件 中 导入 远 端 主机 的 公 钥 。 导 入 公 钥 时 ,系统 会 自动 将 远 端 主机 的 公 钥 文件 转换 为 
PKCS(Public Key Cryptography Standards, 公 共 密 钥 加 密 标 准 ) 编 码 形式 。 

© 手工 配置 。 首 先 在 远 端 主机 上 查看 其 公 钥 信息 ,并 记录 远 端 主机 公 钥 的 内 容 。 然 后 在 
本 地 设备 上 采用 手工 输入 的 方式 将 远 端 主机 的 公 钥 配置 到 本 地 。 手 工 输入 远 端 主机 公 钥 时 ， 
可 以 逐个 字符 输入 ,也 可 以 一 次 复制 粘贴 多 个 字符 。 

命令 : publickey local export rsa { openssh | sshl | ssh2 } xxx 

publickey peer xxx import sshkey xxx 


例如 : 通过 命令 将 远程 主机 的 公 钥 信息 导出 至 文件 ,然后 通过 文件 导入 至 本 地 设备 。 


[Remote_Device] public-key local export rsa ssh2 key. pub 


[H3C] public-key peer remote device import sshkey key. pub 


命令 : publickey peer zx 
例如 : 通过 命令 配置 名 称 为 *rsa_peer_a” 的 远程 主机 公 钥 信息 。 


[H3C] public-key peer rsa_ peer a 
Public key view: return to System View with "peer-public key end". 
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[H3C-pkey-public-key] publickey-code begin 

Public key code view: return to last view with "public-key-code end". 

[H3C-pkey-key-code] 30819F300D06092A864886F70D010101050003818D00308189028181 
00D90003FA95F5A44A2A2CD3F814F9854C4421B57CAC64CFFE4782A87B0360B600497D87162 
D1F398E6E5E51E5E353B3A9AB16C9E766BD995C669A784AD597D0FB3AA9F7202C507072B19C 
3C50A0D7AD3994F14ABC62DB125035EA326470034DC078B2BAA3BC3BCA80AABSEE01986BD1E 
F64B42F17CCAE4A77F1EF999B2BF9C4A10203010001 // 注 意 此 处 公 钥 仅 为 示例 
[H3C-pkey-key-code] publickey-code end 

[H3C-pkey-public-key] peer-public-key end 
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1. 开始 


微 信 认 证 是 ACG1000 的 重要 功能 之 一 。 微 信 认 证 不 仅仅 需要 在 ACG1000 设备 上 进行 
配置 ,还 需要 微 信 公众 平台 或 者 第 三 方 运营 平台 的 配合 。ACG1000 微 信 认证 故障 定位 的 思路 
是 : 首先 确认 征 信 公众 号 可 以 正确 自动 回复 所 设 定 的 链接 ,其 次 检查 用 户 认 证 的 配置 ,再 次 查 
看 设备 是 否 默认 放 通 了 微 信 流量 ,最 后 确认 设备 上 微 信 认证 的 配置 是 否 正确 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 微 信 自动 回复 

通过 移动 终端 连接 到 需要 微 信 认 证 的 WIFI 网 络 中 ,客户 端 直接 访问 网 页 时 ,会 跳 转 至 导 
航 页 面 ,无 法 上 网 。 用 户 需 要 通过 微 信 二 维 码 等 方式 关注 相应 公众 号 后 ,通过 发 送 关 键 字 
众 号 ,并 且 单 击 公 众 号 的 回复 内 容 后 , 即 可 上 网 。 所 以 第 一 步 需 要 查看 公众 号 是 否 可 以 完成 自 
动 回复 ,并 且 要 求 自动 回复 的 链接 是 实际 可 以 打开 的 网 络 链接 ,这 里 建议 微 信 公众 号 设置 自动 
回复 的 跳 转 页 面 链 接 为 动态 页 面 ,如 果 跳 转 页 面 使 用 静态 页 面 , 则 可 能 由 于 缓存 导致 认证 失 
败 ,此 时 需要 清空 客户 端 网 页 缓存 。 

(2) 检查 微 信 公众 号 配置 

如 果 微 信 公 众 号 平台 不 能 自动 回复 网 络 链接 ,那么 需要 排查 微 信 公众 号 平台 配置 ,正确 配 
置 如 下 ,请 核对 检查 。 

D 登录 微 信 公 众 平台 。 如 图 6-13 所 示 ,登录 微 信 公 众 平台 https://mp. weixin. qq. com/ , 输 
入 注册 的 用 户 名 和 密码 , 单 击 “ 登 录 ” 按 钮 。 


— U 


再 小 的 个 体 ， 也 有 自己 的 | 


图 6-13 登录 微 信 公 众 平台 


O 编辑 模式 配置 (与 开发 者 模式 二 选 一 即 可 )。 如 图 6-14 所 示 ,在 公众 平台 配置 界面 单 
击 “ 自 动 回复 ”按钮 ,并 单 击 “ 开 启 ” 按 钮 。 

如 图 6-15 所 示 , 单 击 “ 关 键 字 自动 回复 ”按钮 ,并 单 击 “添加 规则 ”按钮 进入 新 规则 编辑 页 
面 ,“ 规 则 名 ”配置 为 * 微 信 认 证 ”, “关键 字 ”添加 为 test. “回复 ”配置 为 “~<a href= 'http:// 
www. xxx. com ' 盖 点 击 上 网 二 /a>”, 注 意 此 处 配置 的 URL 不 支持 HTTPS 链接 , 仅 支 持 
HTTP 链接 。( 更 多 关键 字 规 则 配置 请 参考 微 信 公众 平台 帮助 文档 .) 
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mamas 


gaen 
通过 筒 多 内 容 或 关键 同业 则 ,快速 进行 自动 同 复 设 吾 。 如 且 备 开发 能 力 ， 可 更 灵活 地 使 用 该 功能 ， 查 看 主 情 i 


+ Bae 四 


Q == 
消 四 管理 
用 户 管理 


6-14 开启 自动 回复 功能 


被 添加 自动 回复 消息 自动 回复 


规则 1: 微 信 认 证 
= 
规则 名 最 多 60 个 字 
. 关键 字 添 jn 关键 字 
r= 未 全 y W 
* 回复 回复 全 部 
⁄ G @ rx m 
-a 


a href= httpy/2014 Wchatool sinaapp com?openid= custumer > =: 


XAD, EHO, TAO, WAO, EO | oe | me 


6-15 ”编辑 模式 下 添加 自动 回复 


O 开发 者 模式 配置 (与 编辑 者 模式 二 选 一 即 可 ) 。 

如 图 6-16 所 示 , 单 击 “ 开 发 者 中 心 ” 选 项 ,在 页 面 中 选择 “启用 ”选项 , 单 击 “ 确 认 ” 按 钮 
后 ,填写 从 第 三 方 运营 平台 获取 的 URL 和 Token。( 更 多 配置 请 参考 微 信和 公众 平台 开发 者 
文档 。) 

如 图 6-17 所 示 , 进 入 第 三 方 公 众 号 运营 平台 进行 配置 。( 这 里 使 用 www. uip. cn 为 例 , 各 
个 平台 虽 有 差异 但 配置 较为 统一 。) 

如 图 6-18 所 示 , 单 击 “* 文 本 回复 "选项 “关键 词 ? 配 置 为 test“ 内 容 或 简介 ”配置 为 
“<a href= 'http: //www. xxx. com ' > RE EW </a>”, © Et AM EA URL 不 支持 
HTTPS 链接 , 仅 支持 HTTP 链接 。 

以 上 为 微 信 公 众 平台 正确 配置 。 

(3) 查看 在 线 用 户 状态 

点 击 微 信 公 众 平台 自动 回复 的 链接 ,打开 所 设置 网 页 的 界面 以 后 ,用 户 即 可 正常 上 网 ,如 
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6-16 ”启用 开发 者 模式 


A 新 文本 自 定 义 回 复 。 W 新 六 图 文 自 定义 回复 


. xma as mer 浏览 次 数 。 时间 a 


图 6-17 第 三 方 公众 号 运营 平台 配置 页 面 


METATU 4 


tp.//2014.wxchat001.sinaapp com?operid=custumer > 我 要 上 网 文字 ) 本 备 拉 范例 : 
<a href="httpy//baiducom/indexphp? 
ac=cate18d-93798c=fromUserame' 


Emm</a> 


APTF 


Bom 


图 6-18 第 三 方 公 众 号 自动 回复 内 容 设置 
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果 此 时 不 能 正常 上 网 ,需要 在 ACG1000 管理 界面 上 查看 在 线 用 户 状 态 , 确 认 此 用 户 是 否认 证 
成 功 ,如 图 6-19 所 示 。 


[EL 用 户 各 “Ra Piet Want ama ne ams se 
[2 maman mam rss 17216.1130 向 信 认 证 2014/12/09 17:49 正常 3150 GIJ 
Denmen 

por seves 

Bime 


图 6-19 查看 在 线 用 户 状态 
(4) 检查 用 户 认证 配置 
如 果 在 上 一 步 中 未 查看 到 用 户 在 线 , 那 么 说 明 此 用 户 没有 认证 成 功 ,首先 需要 确认 设备 上 


用 户 认证 的 配置 是 否 正确 。 
在 ACG1000 管理 界面, 单 击 * 用 户 管理 "~~* 用 户 "命令 ,查看 是 否 配置 了 用 户 , 若 未 配置 
用 户 , 请 使 用 如 下 方法 添加 本 地 用 户 进行 测试 。 
单 击 “新 建 "按钮 ,用 户 命名 为 test,“ 认 证 方式 "选择 “本 地 认证 " 单 选 按钮 ,输入 并 确认 密 
码 ,选中 “启用 " 复 选 框 , 单 击 "提交 "按钮 ,如 图 6-20 所 示 。 


m | 


bsd (1-31 字 符 ) 
认证 方式 © rapus © LDap Opas 
密码 | (6-31 字符 ) 
wes == 了 ] (631 字符 ) 
启用 图 


6-20 ”添加 本 地 认证 用 户 


(5) 检查 设备 策略 配置 
ACG1000 配置 微 信 认 证 时 ,设备 需要 默认 放 通 微 信 流 量 , 请 检查 设备 是 否 配 置 放 通 微 信 
流量 的 策略 , 单 击 * 上 网 行为 管理 ”>“ 策 略 配 置 ">“IPv4 策略 ”命令 ,配置 如 图 6-21 所 示 。 


Ome Om Oea Qum FRAN | muam: Syy Oal 审计 emy Be 
D s D sma EMRO — se SMe me =m al EE GARS sü AS 老化 时 间 sm 
1 “B @ 1 ay any FAPA any aw any any ° ° aways o- ° ZO 
emite | urute 


Bm f m FE 
1 ms man» MATANE 


2 v| n q an m’ o 当前 显示 1 到 1, 共 1 记录 


图 6-21 IPv4 策略 配置 
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(6) 检查 微 信 认 证 配置 

确认 以 上 配置 无 误 后 ,最 后 需要 确认 设备 微 信 认证 配置 是 否 正 确 , 单 击 “ 用 户 管理 ”>“ 认 
证 服务 器 ”>“ 微 信 认 证 ”命令 ,确认 “ 微 信 认 证 弹出 URL” 配 置 为 www. xxx. com( 和 微 信 公众 
平台 配置 保持 一 致 ), 选 中 “启用 ” 复 选 框 ,选中 “超时 时 间 ” 复 选 框 ,并 配置 “超时 时 间 ”,“ 源 地 
址 ”配置 为 允许 进行 微 信 认证 的 地 址 对 象 ,其 他 配置 保持 默认 ,如 图 6-22 所 示 。 


微 信 认 证 消息 设 定 


讽 信 认 9 出 URL 


| 4 (1-127 字 符 ) 


[B 9 I 0144009) 
ftp ur 
启用 图 
FBLA 
出 接口 : | any ，| 源 地 震 | 无线 用 户 接 入 ` 
入 后 口 : | any | 目的 地 址 : | any | 
提交 mA 
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Ps = EPT 6.1.8 ACG1000 应 用 审计 
1. 开始 


ACG1000 应 用 审计 功能 可 对 各 种 网 络 社区 、P2P/IM、 网 络 游戏 .网 络 多 媒体 、 文 件 共享 、 
邮件 收发 ,数据 传输 .数据库 应 用 等 各 种 上 网 行为 提供 全 方面 的 行为 监控 和 记录 ; 同时 ,通过 
综合 分 析 、 检 测 用 户 网 络 流量 与 流向 趋势 ,对 历史 数据 进行 分 析 ,为 用 户 提 供 细 粒度 的 网 络 应 
用 审计 管理 。 

ACG1000 应 用 审计 功能 故障 的 定位 思路 是 : 首先 明确 设备 的 部 署 方式 ,确认 用 户 流 量 是 
和 否 命中 策略 ,其 次 判断 是 否 有 应 用 存在 误 识别 的 情况 ,对 于 应 用 误 识别 问题 ,收集 相关 信息 
反馈 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 设备 部 署 方式 

ACG1000 分 为 在 线 部 署 和 旁 路 部 署 。 在 线 部 署 方式 使 得 ACG1000 能 够 串 接 在 网 络 中 ， 
用 户 流量 直接 经 过 设备 ,设备 能 够 对 应 用 进行 监控 和 管理 ,保障 关键 应 用 和 服务 的 带宽 。 采 用 
旁 路 部 署 时 ,ACG1000 旁 挂 在 核心 设备 旁 ,用 户 的 流量 通过 镜像 方式 上 送 至 ACG1000 进行 审 
计 , 而 无 法 对 上 网 行为 进行 干预 ,如 放行 或 阻 断 。 

在 线 部 署 拓扑 图 ,如 图 6-23 所 示 。 


日 志 分 析 与 管理 平台 
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图 6-23 在线 部 署 拓扑 
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旁 路 部 署 拓扑 图 ,如 图 6-24 所 示 。 
SecPath ACG 
应 用 控制 网 关 
ü; 


炒股 、 视 频 


š P2P 下 载 — ; 
< Web 访 问 


图 6-24 旁 路 部 署 拓扑 


登录 ACG1000 Web 管理 界面 ,查看 设备 目前 的 部 署 方式 ,如 需 设备 参与 用 户 上 网 行为 允 
许 或 阻 断 , 则 应 关闭 旁 路 部 署 。 

例如 : 通过 Web 页 面 查看 ACG1000 当前 部 署 方式 ,路 径 为 “系统 管理 一 部 署 方式 ”如 
图 6-25 所 示 。 
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$ H3C [Root] 
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图 6-25 ACG1000 当前 部 署 方式 


登录 Web 界面 ,可 以 看 到 接口 并 未 启用 旁 路 部 署 ,在 此 情况 下 ,ACG1000 才能 对 用 户 上 
网 行为 进行 允许 或 阻 断 ,否则 只 能 进行 审计 。 

(2) 检查 策略 属性 

检查 策略 属性 需 同时 关注 启用 状态 及 动作 类 型 。 
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O 检查 应 用 审计 策略 是 否 启用 , 若 未 启用 则 无 法 对 用 户 上 网 行为 进行 审计 。 例 如 : 通过 
Web 页 面 查看 ACG1000 应 用 审计 策略 是 否 启用 ,路 径 为 “上 网 行为 管理 一 策略 配置 一 IPv4 
策略 /IPv6 策略 一 状态 ”, 如 图 6-26 所 示 。 


8 Hac [Root] = ——— 


anent 
a Esa Om Qm Qam Qu Fr AUWA | KUR: Orr Opel "市 计 amt Ee 
migi Fl @£ D SCENE mtu 目的 地 服务 。 应 用 。 用 户 U 应 用 安全 时 间 。 日 志 老化 时 间 SF 
anans 1 e F| @ 1 ay ay ay ay ay ay ay 14 Ọ® ams - 0 ØO 


图 6-26 检查 策略 属性 


当 状 态 一 栏 显示 为 @ ,表明 应 用 审计 策略 启用 。 

© 检查 策略 动作 。 策 略 属性 中 的 动作 分 为 审计 、 免 审计 ,拒绝 , 当 动 作为 审计 时 才能 对 用 
户 上 网 行为 进行 审计 。 

例如 : 通过 Web 页 面 查 看 ACG1000 应 用 审计 策略 动作 是 否 为 审计 ,路 径 为 “上 网 行为 管 
理 一 策略 配置 ->IPv4 策略 /IPv6 策略 ”, 如 图 6-27 所 示 。 
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图 6-27 检查 策略 动作 


当 显 示 为 a ,表明 应 用 审计 策略 动作 为 审计 。 

(3) 检查 策略 匹配 条 件 

在 策略 匹配 条 件 中 ,可 调用 用 户 、 源 接口 / 域 .目的 接口 / 域 \ 源 地 址 、 目 的 地 址 、 时 间 、 服 务 ， 
这 些 参 数 既 可 以 预定 义 又 可 自 定义 。 

例如 : 通过 Web 界面 查看 ACG1000 应 用 审计 策略 匹配 条 件 的 配置 ,路 径 为 “上 网 行为 管 
理 一 策略 配置 -~IPv4 策略 /IPv6 策略 ”"。 单 击 操作 中 的 “编辑 ”按钮 可 进行 修改 ,如 图 6-28 和 
图 6-29 所 示 。 
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SecPath ACG1000 
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图 6-28 检查 策略 匹配 条 件 


SecPath ACG1000 


> 目的 接口/ 域 any - 


图 6-29 修改 策略 匹配 条 件 


(4) 检查 应 用 审计 策略 配置 

检查 应 用 审计 策略 配置 时 ,应 关注 匹配 选项 。 匹 配 选项 包括 全 匹配 和 顺序 匹配 ,其 中 ,全 
匹配 表示 同一 数据 包 自 上 而 下 匹配 全 部 策略 ,如 命中 阻 断 策略 数据 包 丢 弃 ; 顺序 匹配 表示 同 
一 数据 包 自 上 而 下 仅 匹 配 到 首次 命中 的 策略 。 

例如 : 通过 Web 界面 查看 ACG1000 应 用 审计 策略 匹配 选项 的 配置 ,路 径 为 "上 网 行为 
管理 一 策略 配置 ~IPv4 策略 /IPv6 策略 一 操作 (编辑 ) 一 应 用 策略 一 匹配 选项 *, 如 图 6-30 
所 示 。 

由 于 迅雷 /迅雷 看 看 均 为 迅雷 旗下 应 用 ,两 者 共用 了 PP 下 载 引擎 的 相关 技术 ,因此 迅雷 
在 下 载 某 些 特定 资源 时 ,会 通过 迅雷 看 看 的 资源 进行 获取 ; 同样 的 ,迅雷 看 看 的 某 些 特定 资源 
也 会 从 迅雷 资源 获取 。 因 此 ,这 两 款 软件 会 出 现 一 些 误 报 ,基于 类 似 的 原因 QQ 旋风 和 腾讯 视 
频 也 会 出 现 一 些 误 报 。 如 果 需 要 进行 流 控 / 阻 断 , 建 议 将 两 个 应 用 一 起 选择 。 
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SecPath ACG1000 


@ amit se 
BERTE ama [0 (0-1728000/# Pt 80 . BOBET ENRE S S 


nesme ssn any + Heme any > 


ae) e < aijan > » o 当前 显示 0 到 0, 共 0 记录 


图 6-30 ”检查 应 用 审计 策略 配置 


(5) 判断 误 识 别 

O 通过 Web 页 面 流量 监控 情况 判断 。ACG1000 的 Web 界面 中 可 实时 查看 系统 目前 使 
用 流量 最 大 的 top 应 用 ,粗略 判断 应 用 是 否 误 识别 。 路 径 :“ 监 控 统 计 一 系统 状态 一 应 用 流量 
排名 ”, 如 图 6-31 所 示 。 


应 用 流量 排名 


应 用 类 型 上 行 Tí 总 流速 百分比 


1 EM 136.80 (b/s) 141.60 (b/s) 278.40 (b/s) 56.12 % 
2 ”域名 解析 协议 (DNS} 52.00 (b/s) 165.60 (b/s) 217.60 (b/s) 43.87 % 


6-31 应 用 流量 排名 


此 时 如 果 想 要 限制 HTTP 协议 而 没有 限制 成 功 , 却 发 现 系 统 上 同花顺 应 用 的 流量 很 大 ， 
则 可 以 推断 HTTP 协议 被 误 识别 为 了 同花顺 协议 。 
O 通过 查看 会 话 判 断 。 使 用 display ip connection protocol 查看 特定 会 话 , 关 注 会 话 中 的 
AppName 字段 ,确认 是 否 被 误 识 别 为 其 他 应 用 。 
命令 : display ip connection protocol [ protocol-name | ip source [ sourceaddr | dest 
Ldest-addr | 
例如 : 在 命令 行 下 查看 源 地 址 为 10. 8. 3. 22 的 会 话 。 


ACG1000> en 
ACG1000# display ip connection protocol all ip source 10.8.3.22 dest any 
matched connection count: 90 
Protocol: UDP State:Complete PolicyID:1 Vrfld: 0 
Status: 0x0062409e FastCode: 0x0000033f 
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UserName:x10216 AppName: HTTP 
Expire: 00:00:58 Existed: 00:10:53 
Source Dir: 10.8.3.22:51742 > 183.60.56.19:8021 
Reply Dir: 183.60.56.19:8021 > 60.191.123.71:51742 
Protocol: TCP State:Complete PolicyID:1 Vrfld: 0 
Status: 0x0062c09e FastCode: 0x0000037f 
UserName:x10216 AppName: HTTP 
Expire: 00:59:50 Existed: 00:15:40 
Source Dir: 10.8.3. 22:61846 > 122.225.207.219:5061 


Reply Dir: 122.225.207.219:5061 > 60.191.123.71:61846 
This connection has SRC_NAT 


Protocol: TCP State: Halfopen PolicyID:1 Vrfld: 0 
Status: 0x00226098 FastCode: 0x0000013í 
UserName: x10216 AppName: HTTP 
Expire: 00:00:02 Existed: 00:00:26 
Source Dir: 10.8.3.22:62292 > 74.125.23.113:80 


Reply Dir: 74.125.23.113:80 > 60.191.123.71:62292 
This connection has SRC_NAT 


假如 10. 8. 3. 22 这 台 主 机 的 迅雷 无 法 被 限制 的 时 候 ,通过 会 话 查 看 AppName 字段 都 识 
别 为 HTTP, 则 可 以 推断 迅雷 应 用 被 误 识 别 为 HTTP 应 用 。 
© 通过 debug 方式 。 在 ACG1000 设备 上 配置 debug application identify 和 debug app 
audit detail 可 打印 出 应 用 识别 和 审计 的 细节 ,使 用 show log debug 加 具体 协议 名 字 查 看 
debug 信息 。 
命令 : debug application identify 
debug app audit detail 
display log debug [FILTER] 
例如 : 在 命令 行 下 通过 debug 信息 可 以 看 到 HTTP 协议 被 app policy 1 识别 出 ,审计 时 
记录 了 网 页 浏览 的 日 志 。 


ACG1000> en 
ACG1000# debug application identify 
ACG1000# debug app audit detail 
ACG1000# display log debug HTTP 
<15>Jun 21 13:35:03 dplane: Match the app policy 1 app_id HTTP action: permit 
<15>Jun 21 13:35:22 dplane: ident as application HTTP( # 4085) Web_access( # 76) HTTP_RULE_ 
2( #0xffffc9) 
<15>Jun 21 13:35:22 dplane: set packet high protocol HTTP( #9) 
<15>Jun 21 13:35:22 dplane: Match the app policy 1 app_id HTTP action: permit 
<15>Jun 21 13:35:22 dplane: Audit other_app log to syslog:user_id=2;user_name=172.30.1.13; 
user_group_id= 2; user_group_name = anonymous; term_ platform = windows; term_ system = ; term_| 
device= ;term_supplier= ;src_ip=172.30.1.13;dst_ip=42.121.1.101;dst_port=80;ip_version=0; 
app_id 一 2147487733 ;app_name 一 网 页 浏览 (HTTP);app_cat_id 王 11534336; app_cat_name 一 网 络 协 
X ;character_id = 0; character_ name = accept; level_id 一 6; level_name = info; service 一 0; account = ; 
action_id=76;action_name= Web 浏览 ;create_time 一 

Audit other_app log to database: 2, "172.30.1.13",2,"anonymous","windows","","" w", 
"172.30.1.13","42.121.1.101",80,0,2147487733," 网 页 浏览 (HTTP)",11534336," 网 络 协议 ",0， 
"accept" ,6,"info" ,0,"",76,"Web 浏览 "4 


如 display log debug HTTP 无 打印 , 则 证 明 没 有 识别 出 HTTP. 
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@ 信息 收集 。 
(a) 导出 设备 的 配置 文件 。 路 径 为 “系统 管理 一 配置 文件 一 导出 配置 一 导出 ”, 如 图 6-32 
所 示 。 


SecPath ACG1000 


asns mnenziesii 
E 


图 6-32 导出 设备 配置 文件 


(b) 导出 设备 的 诊断 信息 。 路 径 为 “系统 管理 一 信息 收集 一 收集 一 提交 一 操作 (下 载 )”， 
如 图 6-33 所 示 。 


司 用 广 管理 1 colecton_nfo_20150707_173 2015-07-07 17:32:00 305K © 


图 6-33 导出 设备 诊断 信息 


(c) 导出 设备 的 异常 信息 (如 果 有 )。 路 径 为 “系统 管理 一 信息 收集 一 异常 信息 导出 一 操 
作 ( 下 载 )”, 如 图 6-34 所 示 。 

(d) 抓 取 应 用 报 文 。ACG1000 自 带 抓 包工 具 , 可 以 定义 相关 参数 抓 取 故障 时 的 报 文 , 如 
图 6-35 所 示 。 

(e) 记录 反馈 前 期 所 有 的 操作 。 


KN) 安全 产品 


C 监控 统计 


名 称 时 间 文件 大 小 


1 corefle_coredump_20150317_ 2015-04-10 20:47:08 543K 


个 监控 统计 


SecPath ACG1000 


图 6-34 导出 设备 异常 信息 


meraes Po (0-1024) 


( 注 : 仅 保 罚 最 后 一 次 抓 得 生成 的 文件 ， 请 及 时 导出 抓 乌 文件) 
文件 名 称 文件 大 Byte) 


(0-65535) 


(0-65535) 


si] 


图 6-35 抓 取 应 用 报 文 


拨打 热线 
400-310-0504 
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1. 开始 

ACG1000 URL 功能 问题 定位 故障 的 思路 是 : 四 检查 设备 系统 状态 .接口 状态 是 否 正 
常 ; @ 检 查 用 户 状态 是 否 正常 上 线 ; 加 检查 设备 部 署 方式 是 否 合理 ; ORKE HENX 
URL 配置 (车 启用 自 定义 URL 过 滤 )、 策 略 配置 .地 址 对 象 配置 .时 间 表 配置 是 否 正常 : @ 检 
查访 问 网 站 日 志 是 否 有 对 应 的 日 志 信息 输出 。 在 排查 过 程 中 ,还 需要 注意 客户 端 侧 的 DNS 解 
析 是 否 正确 ,浏览 器 工作 是 否 正常 ,排除 客户 端 浏览 器 或 Web 网 站 故障 引起 的 问题 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 设备 状态 

进行 URL 功能 问题 排查 时 ,首先 确认 当前 设备 运行 状态 是 否 正常 ,是 否 出 现 CPU、MEM 
过 载 问 题 。 如 果 发 现 系统 运行 状态 值 异常 ,建议 转 其 他 相关 问题 的 云图 继续 排查 , 待 系统 运行 
状态 恢复 后 再 进行 URL 功能 问题 排查 操作 。 

命令 : 无 

例如 : 在 ACG Web 管理 界面 单 击 “ 监 控 统计 ”一 “系统 状态 ”命令 ,检查 “系统 资源 ”运行 
参数 是 否 正常 ,如 图 6-36 所 示 。 


图 6-36 系统 资源 


例如 : 在 ACG Web 管理 界面 单 击 “ 监 控 统 计 ”>“ 系 统 状态 ”命令 ,检查 “实时 流量 ”运行 
统计 值 是 否 正常 ,是 否 符合 日 常 运 维 观察 到 的 数值 范围 ,如 图 6-37 所 示 。 若 实时 流量 出 现 较 
大 的 突 发 , 则 可 能 是 网 络 中 存在 异常 流量 ,建议 根据 入 接口 及 上 下 行 统计 值 信息 ,进一步 做 排 
查 ,判断 是 否 存在 主机 中 病毒 或 存在 网 络 攻击 ,导致 对 网 络 设备 产生 冲击 。 


实时 流量 (总 转发 流速 ) 
200(Kb/s) 


150(Kb/s) 


100(Kb/s) 


SO(Kb/s) 


O(b/s) 一 3 = = ” 
14:45 15:00 15:15 15:30 
— FET — Er 


6-37 实时 流量 
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(2) 检查 接口 状态 

检查 ACG 设备 接口 状态 即 工作 速率 、 双 工 模式 是 否 正 常 , 接 口 报 文 收发 速率 是 否 与 业务 
流量 情况 相符 ,特别 要 注意 接口 的 物理 连 线 是 否 与 配置 预期 相符 。 

命令 : 无 

例如 : 在 ACG Web 管理 界面 单 击 “ 监 控 统计 ”一 “接口 状态 ”命令 ,检查 相关 接口 状态 是 
否 正常 ,如 图 6-38 所 示 。 重 点 检查 “ 链 路 状态 “工作 速率 ”“ 双 工 模式 “接收 速率 “发 送 速 率 ” 
等 项 目的 状态 是 否 正常 ,是 否 符合 实际 网 络 情况 。 当 启用 ACG 二 层 透明 部 署 时 ,还 需 根据 “ 属 
性 ?字段 检查 ACG 设备 上 下 行 物理 端口 是 否 处 于 同一 个 BVI 桥接 组 中 。 特 别 地 ,强烈 建议 现场 
工程 师 到 设备 旁 仔细 核对 设备 上 的 物理 连 线 是 否 正 确 ,是 否 符合 物理 组 网 拓扑 规划 。 


& aiii 
名 称 RERS 属性 工作 速率 双 工 模式 Piè IPv6 地 址 接收 速率 发 送 速率 
1 g0 - - 1000 full 172.31.0.2/24 0bps 0bps 
2 gl - - 1000 full 0bps 0bps 
3 o2 w bvil 100 full 9.72 Kbps 4.47 Kbps 
4 g3 up bvil 1000 ful 10.05 Kbps 10.20 Kbps 
5 g - - 1000 full 0bps 0bps 
6 g5 = bvi0 1000 full 0bps 0bps 
7 ge6 - - 1000 full 0bps 0bps 
8 ge7 = = 1000 full 0bps 0bps 
9 g8 up bvio 1000 full 0bps 0bps 
10 g9 - - 1000 full 0 bps 0 bps 


图 6-38 接口 状态 


(3) 检查 用 户 状 态 

ACG 设备 支持 用 户 认证 功能 ,车 配置 启用 了 相关 特性 ,在 排查 URL 功能 前 需 检查 客户 端 
用 户 在 设备 上 是 否 已 经 通过 认证 ,是 否 可 以 通过 ACG 设备 访问 网 络 资源 。 默 认 配 置 情况 下 ， 
ACG 设备 未 启用 认证 ,最 终 用 户 通 过 ACG 设备 可 以 任意 访问 网 络 ,此 时 该 最 终 用 户 属于 “ 匿 
名 用 户 组 ”。 若 设备 启用 了 本 地 或 第 三 方 认证 ,或 最 终 用 户 需要 通过 其 他 设备 进行 接 入 认证 ， 
则 需要 检查 认证 是 否 完成 。 若 认证 未 通过 ,用 户 未 能 成 功 上 线 , 则 需要 先 排除 认证 相关 问题 。 

命令 : 无 

例如 : 在 ACG Web 管理 界面 单 击 * 监 控 统 计 ” 一 "在线 用 户 管理 "命令 ,检查 “在 线 用 户 管 
理 ? 或 “移动 用 户 管理 "中 的 用 户 在 线 情况 是 否 正常 。 在 如 图 6-39 所 示 ,IP 地 址 为 10. 88. 8. 115 
的 用 户 未 在 ACG 上 启用 认证 ,其 状态 为 “正常 ”, 若 网 络 中 不 存在 其 他 设备 执行 接 入 认证 , 则 
该 用 户 可 以 正常 通过 本 ACG 设备 访问 网 络 。 

(4) 检查 部 署 方 式 

ACG 设备 支持 “在 线 ? 或 “ 旁 路 ?两 种 部 署 方式 。 当 工作 在 “在 线 ? 模 式 时 ,支持 阻 断 动作 并 
产生 日 志 ; 当 工 作 在 “ 旁 路 ”模式 时 , 仅 支 持 日 志 审 计 功 能 ,无 法 执行 URL 阻 断 过 滤 动 作 , 因 此 
需要 根据 客户 部 署 需 求 ,检查 设备 工作 模式 是 否 配 置 合理 。 

命令 : 无 

例如 : 在 ACG Web 管理 界面 单 击 * 系 统管 理 ” 一 部署 方式 ”命令 ,检查 当前 配置 是 否 启 
用 了 “ 旁 路 部 署 ” 功 能 ,如 图 6-40 所 示 。 当 状态 显示 为 红色 时 ,表示 该 端口 当前 未 启用 旁 路 部 
署 模式 ; 反之 , 当 状 态 显示 为 绿色 时 ,表示 该 端口 已 经 启用 旁 路 部 署 模式 。 


mem * m 
pez Sms EE mast 
四 VER 得 mes rae mest EA aana #5 amk sr 
BDEaReR 。 27 10888.20 tarre 10888.20 zua msez E 77a a 
28 10888.4101 Lal 10.888.101 uE 2015/06/11 08:23 E 7447 9 6 
29 10888.4114 Lal 10.88.8.114 条 WA 还 2015/08/11 08:21 ES 748349 SW: & 
30 10888137 mameg 10888137 sua 2015/06/11 08:21 ER raoe â 
3L 192.168.1111 EZRPE 192.168.1.111 +WE 2015/08/11 08:20 ER 7 4 时 0 分 种 6 
了 10888408 mane 10.8.8.108 sua 2015/08/11 08:19 ES 79051 95% a 
33 1088.8.168 EP 各 10888168 sut 2015/08/11 08:18 EE 752 $W a 
3 10888.138 man=e 10888138 和 和 /还 2015/08/11 08:17 Ew 7053 9w a 
35 10888.15 mane 0888135 sua 2015/08/1108:17 Iz 7 小 54 分 机 a 
3610888124 Ezmeig 10888.4124 *u 2015/08/11 08:16 ER 755 9 a 
37 1088816 mama 1088.8163 sua 2015/08/11 08:16 EE 755 SW a 
3 10888.1988 [Sand 1088818 sua 2015/08/11 08:15 Iz 74955 9% â 
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接口 名 称 状态 启用 
1 ge ° 口 
2 gl ° 口 
3 g2 ° 口 
4 ge3 ° 口 
5 ge4 ° 口 
6 g5 ° 

7 96 ° 回 
8 g7 ° D 
9 ge8 ° D 
10 ge9 ° 口 


图 6-40 FRF 


(5) 是 否 启 用 自 定义 URL 过 滤 

ACG 设备 支持 自 定义 URL 过 滤 和 预定 义 分 类 URL 过 滤 功 能 。 若 当前 设备 启用 了 自 定 
X URL 过 滤 , 则 需要 先 检 查 自 定义 URL 配置 是 否 正常 ,否则 ,可 直接 进行 策略 配置 检查 。 

(6) 检查 自 定义 URL 配置 

ACG 设备 支持 自 定义 URL 过 滤 功 能 ,可 以 由 客户 自行 配置 网 站 域名 关键 字 进 行 审计 过 
滤 配 置 。 在 问题 排查 过 程 中 需要 注意 检查 自 定 义 URL 配置 是 否 准确 。 

命令 : 无 

例如 : 在 ACG Web 管理 界面 单 击 “ 对 象 管理 ”>“URL”>“ 自 定义 URL” 命 令 , 如 图 6-41 
所 示 ,检查 各 自 定义 URL 配置 是 否 启 用 准确 。 特 别 要 注意 检查 “URL” 字 段 是 否 正确 。 


Ee | meun | EEJ 


Ore Ome 
名 称 URL 握 作 
d H3C www.h3c.com.cn BO 


图 6-41 自 定义 URL 


(7) 检查 策略 配置 
ACG 设备 URL 过 滤 功 能 是 通过 策略 配置 实现 的 ,因此 必须 重点 检查 策略 配置 是 否 正确 。 
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URL 分 类 是 根据 URL 请 求 将 网 站 访问 分 成 相应 的 类 别 。URL 分 类 库 是 进行 分 类 的 依 
据 , 已 经 内 置 在 版 本 当中 。 用 户 也 可 以 依据 自己 的 需要 ,自行 定义 新 的 URL 分 类 。 通 过 网 站 
策略 对 其 进行 引用 ,并 启用 该 策略 ,可 以 对 相关 的 用 户 起 到 网 站 控制 的 作用 。 这 样 可 以 通过 
HTTP 协议 为 用 户 提供 应 用 级 的 安全 防护 和 访问 限制 。 自 定义 URL 分 类 若 与 预定 义 URL 
分 类 冲突 , 自 定义 URL 的 优先 级 更 高 。 

若 系统 中 同时 配置 了 多 条 策略 ,要 注意 多 条 策略 间 的 匹配 顺序 。 若 策略 匹配 条 件 中 引用 
了 地 址 对 象 .时 间 表 等 ,还 应 注意 其 引用 的 对 象 配置 是 否 正确 。 

命令 : 无 

例如 : 在 ACG Web 管理 界面 单 击 * 上 网 行为 管理 ”策略 配置 ”命令 ,选中 相应 的 IPv4 
或 IPv6 策略 ,展开 策略 配置 界面 ,检查 URL 审计 配置 是 否 正确 。 以 图 6-42 为 例 ,动作 配置 为 
“拒绝 ”, 表 示 设 备 将 组 织 最 终 用 户 访 问 以 “H3C” 为 名 称 的 自 定义 URL, 


URL a| 
Ore Ome 
URL 级 别 动作 局 用 ma Bi 
" H3C 通知 ge ° BO 
Izom] w < | mh ] 共 页 e Ho 当前 显示 1 到 1, 共 1 记录 
图 6-42 URL 审计 


(8) 检查 地 址 对 象 配置 

当 ACG 配置 URL 过 滤 策 略 时 ,引用 了 地 址 对 象 , 则 需 检 查 该 策略 引用 的 地 址 对 象 本 身 
是 否 配置 正确 ,避免 造成 地 址 匹配 错误 。 

命令 : 无 

例如 : 在 ACG Web 管理 界面 单 击 “ 对 象 管理 ”>“ 地 址 ”命令 ,如 图 6-43 所 示 ,检查 地 址 对 
象 , 地 址 组 对 象 配置 是 否 准确 。 特 别 要 注意 检查 名称“ 内 容 “ 排 除 地 址 ”字段 是 否 配 置 正确 ， 
检查 地 址 组 对 象 与 地 址 对 象 的 嵌 套 引用 关系 是 否 正确 。 


Ore G@ m Q. mu CERS: 


名 称 内 容 (网 络 , 范围 , 主机 ) 排除 地 址 Je 引用 
1 any 0.0.0.0/0 任何 地 址 2 
2 private 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16, 私有 地 址 1 


6-43 IPv4 地 址 对 象 


(9) 检查 时 间 表 配置 

当 ACG 配置 URL 过 滤 策 略 时 ,引用 了 时 间 表 对 象 , 则 需 检 查 该 策略 引用 的 时 间 表 对 象 
本 身 是 否 配置 正确 ,避免 造成 地 址 匹配 错误 。 同 时 还 应 注意 检查 设备 当前 时 间 是 否 正常 , 若 设 
备 系统 时 间 错 误 , 可 通过 手工 重新 指定 或 NTP 服务 进行 同步 。 

命令 : 无 

例如 : Æ ACG Web 管理 界面 单 击 “ 对 象 管理 ”>“ 时 间 表 ”命令 ,如 图 6-44 所 示 ,检查 各 时 
间 表 对 象 配置 是 否 合理 。 特 别 要 注意 检查 “名 称 ” 时 间 计 划 字 段 是 否 配置 正确 。 


Ore Ome 
£= 日 计划 m 活跃 状 坟 “引用 
1 任何 时 间 00:00-23:59 任何 时 间 活路 1 


图 6-44 时 间 表 

(10) 检查 访问 网 站 日 志 

ACG 设备 支持 URL 过 滤 日 志 审 计 功 能 ,可 以 通过 日 志 信息 了 解 设备 执行 URL 过 滤 策 
略 的 情况 。 在 问题 排查 过 程 中 ,建议 利用 日 志 信 息 , 分 析 判 断 管理 员 配 置 及 设备 工作 是 否 
正常 。 

命令 : 无 

例如 : 在 ACG Web 管理 界面 单 击 “ 日 志 查 询 ”>“ 网 站 访问 日 志 ” 习 “访问 网 站 日 志 ” 命 
令 , 如 图 6-45 所 示 , 检 查 URL 过 滤 日 志 人 信息, 注意 核对 “用 户 ”““URL 分 类 ”( 包 含 自 定义 
URL) “处 理 动 作 ” 等 关键 信息 是 否 符合 预期 。 


访问 网 站 日 志 


G ma EA 查询 结果 : 在 2015-08-11 约 2 条 日 志 记 录 中 ， 从 1-2 搜索 出 相关 结果 2 条 ,显示 1-2 


用 户 URL 分 类 网 页 标题 URL 处 理 动作 ”级别 时 间 操作 
1 10.88.8.115 H3C - e 阳 断 v 信息 2015-08-11 14:13:55 
2 10888.3115 H3C - e 阻 断 f 信息 2015-08-11 14:13:55 详细 


6-45 访问 网 站 日 志 
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1. 开始 
ACG1000 是 新 款 应 用 审计 网 关 , 提 供 全 面 充分 的 网 络 审计 功能 。 日 志 功 能 至 关 重 要 ,如 
果 日 志 功 能 出 现 问题 ,审计 功能 得 不 到 呈现 。 
ACG1000 日 志 功 能 故障 排查 的 思路 是 : 首先 判断 功能 配置 是 否 正确 ,再 看 日 志 输 出 策略 
和 接收 端 是 否 存在 问题 。 
2. 流程 图 相关 操作 说 明 
(1) 查看 本 地 日 志 


通过 查看 本 地 上 日志, 判断 本 地 日 志 生 成 是 否 正常 。 如 果 没 有 日 志 , 则 说 明 在 功能 配置 上 出 
现 问 题 或 者 没有 双向 流量 匹配 。 


例如 : 通过 “日 志 查 询 习 应 用 审计 日 志 王 搜索 引擎 日 志 ” 路 径 查 看 日 志 , 如 图 6-46 所 示 。 


usa $ mm 〇 前 -天 后 -天 MRAR: 在 2015.05-11 的 2 条 日 志 记 录 中 . 从 1-2 搜索 出 相关 结果 2 条 E= 1-2 
Eisat: | 开始 时 间 : 2015-05-01 00:00] [8859F08: 2015-06-06 23:59| 
m= RR 65 eman ae == m as na ae 
1 mm Bron aas sa ww baidu.com - + ma 201505.11 153032 88 
2 m= mes aar ss waww baidu.com “ma 201505-31153032 nm 
图 6-46 搜索 引擎 日 志 
发 现存 在 搜索 引擎 日 志 则 无 问题 。 


如 果 没 有 日 志 , 如 图 6-47 所 示 , 则 需要 检查 一 下 配置 了 。 


Qm es O 前 -天 O 后 -天 GWAW: 在 2015.05-13 ZISE 


EISE: | 开始 时 间 : 2015-05-01 00:00| [BASRI]: 2015-08-06 23:59 
m= an aa mae aR 


图 6-47 无 搜索 结果 
(2) 检查 功能 配置 
每 个 审计 项 开启 时 都 需要 选择 记录 日 志 , 和 否则 日 志 无 法 输出 。 


例如 : 通过 “上 网 行为 管理 一 策略 配置 IPv4 策略 ”路 径 查 看 ,如 图 6-48 所 示 ,发 现 搜索 
引擎 审计 没有 开启 记录 日 志 功 能 ,其 他 审计 类 开启 了 。 
此 时 需要 单 击 修改 成 “记录 日 志 ” 


此 外 ,还 存在 流量 匹配 不 到 审计 策略 导致 没有 日 志 产 生 的 问题 ,如 图 6-49 所 示 。 双 向 流 
量 是 否 匹 配 除 了 检查 接口 流量 统计 、 检 查 匹 配 的 条 件 设置 是 否 正确 之 外 ,还 可 以 开启 全 部 审 
计 , 并 记录 日 志 , 来 判断 是 否 能 记录 到 某 个 流量 的 任何 一 种 日 志 信 息 。 如 果 某 些 日 志 无 法 显 
示 , 配 置 也 正常 ,还 可 能 是 特征 库 不 识别 导致 。 
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| oO sA 65 m= =m ze> ë aa aE Em mt s 
1 O Mesa 所 有 行为 所 有 行为 内 包含 any 信息 r @ - 区 加 
| 2 Oam% 所 有 行为 。 所 有 行为 内 包 会 any maz t 四 |- KO] 


SAER 到 2, 共 2 记录 


6-48 开启 了 其 他 审计 类 


= 


sme 
me Omt emt Opa 
老化 时 间 Ü — — ] (0.1728000/ 秘 ,默认 值 是 0 , 即 雪 示 使 用 各 个 协议 默认 的 老化 时 间 ) 
启用 


图 6-49 IPv4 策略 
(3) 检查 日 志 输 出 策略 


确认 本 地 日 志 产 生 后 ,有 用 户 无 法 看 到 日 志 服 务 器 侧 日 志 。 此 时 需要 确定 日 志 输 出 策略 
是 否 正 确 。 


单 击 “ 系 统管 理 ”>“ 日 志 设 定 ” 命 令 , 如 图 6-50 所 示 ,检查 日 志 服务 器 设置 情况 。 


aaass ] 
启用 
服务 器 IIp 地 址 [172310105 ”| 加 客 : 
服务 器 1 营口 ”514 (1-65535) 
服务 器 2Iptt 址 | | 加密: 
esman [514 |(1-65535) 
服务 器 3IP 地 址 wE 
Bass (514 (1-65535) 
这 ip 地 址 
s =s 


6-50 ”日志 服务 器 
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然后 再 看 “日 志 过 滤 ”。 需 要 单 击 “ 高 级 配置 ”选项 查看 详细 功能 。 
说 明 : 本 地 日 志 要 记录 ,server 日 志 也 要 发 送 ,不 能 选择 不 发 送 ,如 图 6-51 i, RUH 
况 下 ,日 志 过 滤 策 略 都 是 默认 记录 和 发 送 的 ,不 会 有 问题 。 


日 志 过 源 


本 地 日 志 Server 日 志 ( 运 择 日 志 级 别 ) 
统一 配置 — 4 — yj 一 ` 
KRAS 

握 作 日 志 F: 32 发 送 VERR v 
系统 日 志 记录 V 发 送 | 全 部 级 别 v 
系统 健康 日 志 发 送 ”vv| 全 部 级 别 v 
整 机 转发 日 志 发 送 VeSa v 
安全 日 志 
IP-MAC 昌 志 记录 v| E V238] v| 
提 撕 攻击 防御 日 志 记录 y 发 送 vv|[ 全 部 级 别 v 
Food 攻 击 防御 日 志 记录 y 发 送 vesa v 
异常 报 文 攻击 日 志 记录 y 发 送 verz v 
高 级 配置 ç 
RHS 
流量 日 志 记录 v 发 送 _v| 全 部 级 别 v 
HAKEE 发 送 ”vv[ 全 部 级 别 v| 
NAT 日 志 发 送 vv| 全 部 级 别 v 
上 网 行为 日 志 
网 站 访问 日 志 记录 v 发 送 ”vv| 全 部 级 别 v 
IM 内 容 审计 日 志 记录 y 发 送 ”vv| 全 部 级 别 v 


图 6-51 日 志 过 滤 


(4) 检查 日 志 服 务 器 

检查 设备 日 志 功 能 配置 后 ,来 判断 日 志 服 务 器 侧 能 否 收 到 日 志 报 文 。 

可 以 在 日 志 服 务 器 上 抓 包 来 判断 是 否 能 收 到 目的 端口 是 设 定 的 日 志 输 出 端口 的 报 文 。 如 
果 没 有 收 到 ,需要 检查 设备 到 服务 器 间 网 络 是 否 连通 。 

如 果 有 报 文 ,但 是 服务 器 依旧 不 显示 日 志 , 可 能 存在 以 下 情况 。 

O 服务 器 安装 了 防火 墙 等 安全 软件 使 报 文 丢弃 。 

© 日 志 管 理 软 件 的 License 没有 授权 管理 功能 。 

@ 日 志 管 理 软 件 的 后 台数 据 库 损坏 。 

@ 和 @ 情 况 可 以 自行 检查 ,@ 类 情况 则 需要 联系 呼叫 中 心 来 远程 恢复 数据 库 。 
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J; ybcpu 216] # i ëk PŠ aF $ 


查看 多 核 
RAŽ 


拨打 起 . 绕 
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z me 6.2.1 防火 墙 CPU 利用 率 


1. 开始 

防火 墙 很 多 报 文 都 要 上 送 CPU 处 理 , 因 此 CPU 利用 率 高 是 防火 墙 比较 常见 的 问题 , 具 
体 包括 控制 核 利 用 率 高 和 转发 核 利 用 率 高 。 防 火 墙 CPU 利用 率 高 问题 定位 故障 的 思路 是 : 
首先 查看 是 CPU 控制 核 利 用 率 , 找 出 占用 CPU 高 的 进程 ,根据 进程 进行 相关 处 理 ; 其 次 查看 
数据 转发 平面 CPU 利用 率 , 如 果 转 发 平面 CPU 利用 率 比 较 高 是 因为 数量 流量 太 大 ,要 注意 
查看 网 络 中 是 否 存在 环 路 或 者 攻击 等 异常 流量 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 CPU 利用 率 

直接 通过 命令 查看 防火 墙 CPU 利用 率 , 体 现 的 是 防火 墙 控制 核 的 利用 率 情 况 ,正常 情况 
下 ,防火墙 控 制 平面 CPU 的 利用 率 应 该 小 于 20%% 。 

命令 : display cpu-usage 

例如 : 通过 命令 查看 防火 墙 CPU 占用 率 。 


[H3C] display cpu-usage 
Unit CPU usage: 
2% in last 5 seconds 
1% in last 1 minute 
1% in last 5 minutes 


(2) 查看 CPU 进程 
控制 平面 CPU 负责 各 种 协议 报 文 的 处 理 ,通过 查看 CPU 任务 进程 ,可 以 了 解 每 个 进程 
占用 的 CPU 资源 情况 。 
命令 : _hidecmd 
display cpu-usage task 
例如 : 通过 命令 查看 进程 。 


[H3C]_hidecmd 

[H3C-hidecmd] display cpu-usage task 

======== Current CPU usage info -------- 

CPU Usage Stat. Cycle: 2 (Second) 

CPU Usage :9% 

CPU Usage Stat. Time : 2013-12-25 10:02:18 

CPU Usage Stat. Tick : 0x587(CPU Tick High) 0x6ab6e0(CPU Tick Low) 
Actual Stat. Cycle : 0x0(CPU Tick High) Ox8dcc3df(CPU Tick Low) 


TaskName CPU Runtime(CPU Tick High/CPU Tick Low) 
VIDL 91% 0/ 81913c8 
TICK 0% 0/ 64ed4 
STMR 1% 0/ 1b0e93 
DRVT 0% 0/ 50d5f 
TMSG 0% 0/ 3584f 
IPCB 0% 0/ ee49 


RPCQ 0% 0/ 29954 
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ADJ6 0% 0/ 122a 
IPCM 0% 0/ ae3 
OMS 0% 0/ eb8 
DEV 0% 0/ 2529 
SOCK 0% 0/ 139b 
ADJ4 0% 0/ 38a2 
LAGG 0% 0/ a6a 
MSTP 0% 0/ bc6 
ARP 0% 0/ faf3 
IP 0% 0/ 2d301 
FSLH 0% 0/ 790 
FSLR 0% 0/ 5f6c 
NTPT 0% 0/ d74 
VTYD 0% 0/ bfb2 
DHCP 0% 0/ 6f37 
ND 0% 0/ a37c 
ACM 0% 0/  1c426 
LS 0% 0/ 5cda 
RDSO 0% 0/ 578d 
SC 0% 0/ 16ab 
IKE 0% 0/ 2db49 
L2TP 0% 0/ 575c 
ULOG 0% 0/ 6fdd 
STND 0% 0/ 2091 
ROUT 0% 0/ 49773 
IFNT 0% 0/ b21 
IPFF 0% 0/ 87f 
TNLT 0% 0/ 988 
vtl 5% 0/ 84965b 
进程 任务 说 明 。 
TaskName CPU Runtime(CPU Tick High/CPU Tick Low) 
VP 0% 0/ 430 
VIDL 56% 0/ 71fc04a2 // 空 闲 资源 
TICK 0% 0/ abf304 
STMR 1% 0/ 3446bab // 定 时 器 进程 
DRVT 0% 0/ b492b7 
TMSG 0% 0/ 17bd5f5 // 核 间 消息 同步 
IPCB 22% 0/ 2dfed35a // 信 息 通 道 
RPCQ 0% 0/ 3d0999 
ADJ6 0% 0/ 8ble //IPV6 邻接 表 
IPCM 0% 0/ 112d3 
INFO 0% 0/ 13c201a // 信 息 中 心 
OMS 0% 0/ 24c52 
DEV 0% 0/ 3lc4 
SOCK 0% 0/ 1574c6 // 本 地 socket 
ADJ4 0% 0/ 1f7af //IPV4 邻接 表 
ACL 0% 0/ 71db6 //ACL 
LAGG 0% 0/ 14482 // 链 路 聚合 
MSTP 0% 0/ 15aab //MSTP 进程 
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ARP 0% 0/ 244ff4 //ARP 进程 
IP 0% 0/ 443d6d 
FSLH 0% 0/ eff7 
FSLR 0% 0/ all68 //SSL VPN 进程 
NTPT 0% 0/ lbdcb //NTP 时 钟 同步 
VTYD 0% 0/ 970a7 
ND 0% 0 f8s6e9 // 邻 居 表 
AGNT 0% 0/ ac265 
ACM 0% 0/ 317f07 
LS 0% 0/ 81186 
RDSO 1% 0/ 3aleadd 
IKE 14% 0/ 1d50a365 //IKE 进程 
L2TP 0% 0/ a64d0 //L2TP VPN 
ULOG 0% 0/ a84lc // 会 话 日 志 
MFIB 0% 0/ 51c8 // 应 该 是 FIB K 
STND 0% 0/ 3bl3c 
ROUT 0% 0/  6c4f0e // 路 由 
IFNT 0% 0/ 15dc7 // 应 该 是 接口 相关 
IPFF 0% 0/ 27b87 // 快 转 
DNS 0% 0/ 92a5a //DNS 
co0 0% 0/ 8c2cb8 // 串 口 
IPSP 0% 0/ e74e //—IPSEC VPN 
DHBK 0% 0/ eae2 // 双 机 热 备 
HDQ0 0% 0/ 918a // Web 访问 


比如 INFO 进程 很 高 ,可 以 看 看 设备 日 志 开 启 情况 ,是 否 开启 了 大 量 日 志 , 可 以 关闭 一 些 
日 志 , 观 察 是 否 有 改善 。 

(3) 收集 进程 详细 信息 

如 果 现 场 无 法 根据 上 面 的 进程 信息 解决 问题 ,可 以 进一步 收集 详细 反馈 到 技术 支持 中 心 。 
V5 防火 墙 控制 核 CPU 进程 信息 收集 方法 如 下 ,以 INFO 为 例 。 

O 查看 CPU 各 任务 利用 率 ,找到 利用 率 高 的 任务 。 


[H3C]_hidecmd 

[H3C-hidecmd]display cpu-usage task 

-------- Current CPU usage info -------- 

CPU Usage Stat. Cycle: 26 (Second) 

CPU Usage :82% 

CPU Usage Stat. Time : 2013-12-30 10:05:31 

CPU Usage Stat. Tick : 0x1fbb(CPU Tick High) 0x86aaled0(CPU Tick Low 
Actual Stat. Cycle : 0x0(CPU Tick High) 0x67f8409a(CPU Tick Low) 


TaskName CPU Runtime(CPU Tick High/CPU Tick Low) 
VIDL 5% 0/641b12b2 
TICK 0% 0/ 45b991 
STMR 1% 0/ 162f980 
DRVT 0% 0/ 352ba2 
TMSG 0% 0/ 2786c2 
IPCB 0% 0/ a6258 


RPCQ 0% 0/ 1d9343 
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ADJ6 0% 0/ 3a5f 
IPCM 0% 0/ 7al6 
INFO 61% 0/ 25334 
OMS 0% 0/ c404 
DEV 0% 0/ 27280 
SOCK 0% 0/ 11524 
ADJ4 0% 0/ f24a 
ACL 0% 0/ 20de3 
LAGG 0% 0/ 86c3 
MSTP 0% 0/ 9929 
ARP 0% 0/ c57ae 
IP 0% 0/ 2243ae 
IFNT 0% 0/ 985b 
IPFF 0% 0/ 7d31 
TNLT 0% 0/ b096 
vt0 0% 0/ vd8e7e6 


@ 进一步 根据 任务 名 称 查找 其 ID. 


[H3C]_hidecmd 
[AC-hidecmd]display task 


name Tid Vid TSize Mod priority Status Total/Max/Last(Millsecs) 
VMON 8033ec00 1 40 N 100 eventblock 0/ 0/ 0 
VP 837b9000 2 40 N 140 eventblock 114/ 0/ 0 
VIDL 8033ea00 E 40 P 1 preemptready 516602008/ 9/ 5 
TICK 8033e800 4 40 P 250 preemptready 1414607/ 0/ 0 
STMR 8036600 5 40 N 150 eventblock 7284583/ 27/ 0 
DFWD 8033e400 6 40 N 100 eventblock 0/ 0/ 0 
DRVT 8033200 7 40 N 100 eventblock 1090117/ — 86/ 0 
TMSG 8033e000 8 40 N 100 eventblock 678471/ 1/ 0 
IPCB 83dc2e00 9 40 N 140 eventblock 221234/ 0/ 0 
IPCD 83dc2c00 10 40 N 100 eventblock 0/ 0/ 0 
RPCQ 83dc2a00 11 40 N 140 eventblock 613831/ of 0 
RPCD 83dc2800 12 40 N 140 eventblock 0/ 0/ 0 
PAT 83dc2600 13 40 N 100 eventblock 3/ of 0 
MACF 83dc2400 14 40 N 100 eventblock 3/ of 0 
ADJ6 83dc2200 15 40 N 100 eventblock 4461/ 0/ 0 
IPCM 83dc2000 16 40 N 100 eventblock 9560/ of 0 
CFM 83dc3e00 17 40 N 100 queblock 3025/ 563/ 563 
INFO 83dc3c00 18 40 N 100 normalready 8042/ 8/ 0 
LGFT 83dc3a00 19 40 N 100 eventblock 163/ 9/ 0 
OM8 83dc3800 20 40 N 100 eventblock 15542/ 0/ 
DEV 83dc3600 21 40 N 140 eventblock 48100/ of/ 
WORK 83dc3400 22 40 N 100 eventblock 0/ 0/ 0 


@ 在 按照 ID 把 这 个 进程 的 当前 堆栈 信息 打印 出 来 。 


[H3C]_hidecmd 
[H3C-hidecmd]display task 18 
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Task name : INFO 

Task PLAT Index : 18 

Task OS Index : 0x83dc3c00 
Task StackTop : 0x80330000 
Task priority : 100 

Task Status : normalready 


Last run time(CPU Tick) : 0x0(high) 0x8357(low) 
Max run time(CPU Tick) : Ox0(high) 0x87dd3(low) 
Total run time(CPU Tick) : OxO(high) 0x20437657(low) 
Stack Information: 

0x8022d780 

0x802313dc 

0x80231ba8 

0x813ef48c 

0x813dc6a0 

0x813dc234 

0x813dbf7c 

0x81607940 


将 收集 的 上 述 信息 ,连同 诊断 信息 和 配置 文件 一 起 反馈 给 技术 支持 中 心 。 

(4) 查看 多 核 引擎 利用 率 

多 核 引 擎 利用 率 就 是 数据 平面 CPU 的 利用 率 ,通过 查看 防火 墙 多 核 引 擎 利用 率 , 可 以 了 
解 防火 墙 流量 在 多 核 上 的 转发 是 否 负载 均匀 ,是否 存 在 异常 流量 等 信息 。 默 认 情况 下 防火 墙 
多 核 之 间 是 逐 包 转发 ,各 数据 核 利 用 率 应 该 基本 一 致 才 对 ,另外 可 以 通过 命令 将 防火 墙 改 成 逐 
流转 发 ,这 样 各 个 核心 可 能 存在 一 些 差 距 。 

MA: _hidecmd 

tshow mainboard cpu-usage all 

例如 : 通过 命令 查看 防火 墙 转发 核 占 用 率 ,发 现 其 中 一 个 核 的 利用 率 明 显 偏 高 ( 核 1 一 3 
不 负责 业务 数据 的 转发 ,所 以 利用 率 显示 为 0)。 说 明 有 异常 流量 分 发 到 这 个 核 上 ,可 能 会 导 
致 该 数据 核 挂 死 ,可 以 通过 会 话 或 者 抓 包 的 方式 找到 对 应 的 流量 。 


[H3C] _hidecmd 
[H3C-hidecmd]tshow mainboard cpu-usage all 
VCPU usage information: 
1 0% 
2 0% 
3 0% 
4 5% 
5 5% 
6 5% 
7 5% 
8 5% 
9 5% 
10 5% 
11 5% 
12 98% 
13 15% 
14 5% 
15 5% 
16 5% 
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17 5% 
18 5% 


(5) 查看 会 话 统计 

如 果 防 火 墙 的 流量 太 大 或 者 防火 墙 收 到 攻击 流量 ,会 话 统计 信息 里 面 的 会 话 总 数 、 半 开 连 
接 数 、 会 话 新 建 速率 等 参数 会 增加 很 多 ,可 以 通过 查看 会 话 明细 或 者 抓 包 的 方法 确认 异常 
流量 。 

MA: display session statistics 


例如 : 通过 命令 查看 会 话 统计 信息 。 


[H3C]display session statistics 
Current session(s) :2959981 
Current TCP session(s) : 2827396 
Half-Open: 2765555 Half-Close: 24194 
Current UDP session(s) : 132052 
Current ICMP session(s): 532 
Current RAWIP session(s): 1 


Current relation table(s) : 14 
Session establishment rate: 60815/s 


TCP Session establishment rate: 59599/s 
UDP Session establishment rate: 1207/s 


查看 会 话 表 中 的 Half-open 和 Half-close, 可 以 判断 网 络 中 是 否 有 flood 攻击 流量 。 

查看 新 建 会 话 速率 Session establishment rate, 可 以 判断 网 络 中 是 否 有 大 量 异 常 新 建 会 话 
流量 ,是 否 超 过 设备 规格 。 

查看 关联 表 Current relation table(s) ,可 以 确定 网 络 中 是 否 有 大 量 不 走 快 转 的 流量 。 

(6) 查看 接口 流量 

如 果 防 火 墙 的 会 话 统计 信息 偏 高 ,还 可 以 进一步 查看 防火 墙 接口 流量 ,确定 经 过 防火 墙 的 
出 人 流量 速率 分 别 是 多 大 ,是否 超过 设备 处 理 能 力 。 

命令 : reset counters inter face inter face-type inter face-number 

display inter facei inter face-type inter face-number 


例如 : 通过 命令 查看 接口 流量 。 


<H3C> reset counters interface GigabitEthernet 0/0 

[H3C]display interface GigabitEthernet 0/0 

GigabitEthernet0/0 current state: Up 

Line protocol current state: Up 

Description: GigabitEthernet0/0 Interface 

The Maximum Transmit Unit is 1500 

Internet Address is 10.153.42.83/24 Primary 

IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e27b-f27b 
IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e27b-f27b 
Media type is twisted pair, loopback not set, promiscuous mode not set 

100Mb/s, Full-duplex, link type is autonegotiation 
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Output flow-control is disabled, input flow-control is disabled 
Output queue : (Urgent queuing : Size/Length/Discards) 0/100/0 
Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0 
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0 
Last clearing of counters: Never 
Peak value of input: 7239195 bytes/sec, at 2013-12-1 11:26:3 
Peak value of output: 92335 bytes/sec, at 2013-12-2 3:22:18 
Last 300 seconds input rate 324 bytes/sec, 2592 bits/sec, 4 packets/sec 
Last 300 seconds output rate 71 bytes/sec, 568 bits/sec, 1 packets/sec 
Input: 126033021 packets, 0 jumboes, 53336845783 bytes, 126033021 buffers 
6284150 broadcasts, 119098432 multicasts, 0 pauses 
0 errors, 0 runts, 0 giants 
0 crc, 0 align errors, 0 overruns 
0 dribbles, 0 drops, 0 no buffers 
Output:587606 packets, 101386403 bytes, 587606 buffers 
376 broadcasts, 0 multicasts, 0 pauses 
0 errors, 0 underruns, 0 collisions 
0 deferred, 0 drops, 0 lost carriers 


(7) 查看 异常 流量 并 进行 控制 

如 果 防 火 墙 的 某 一 个 数据 核 的 利用 率 偏 高 ,但 是 会 话 统计 信息 正常 ,说 明 是 某 一 条 数据 流 
流量 太 大 ,这 个 数据 流 很 可 能 是 环 路 或 者 攻击 ,可 以 通过 抓 包 或 者 查看 会 话 明 细 的 方法 找到 异 
常 流量 。 防 火 墙 的 会 话 记 录 了 每 一 条 数据 流 的 详细 信息 ,根据 会 话 可 以 看 到 数据 流 的 IP 地 
址 端口, 协议、 会 话 状态 ,收发 报 文 数 等 信息 。 找 到 异常 流量 后 可 以 通过 连接 数 限制 、 防 攻击 、 
黑 名 单 或 者 在 其 他 上 下 行 设备 上 配置 访问 控制 列表 等 方法 进行 控制 。 

命令 : display session table verbose 


例如 : 通过 命令 可 以 看 到 其 中 一 条 数据 流 收发 报 文 数 很 大 ,明细 存在 异常 。 


[H3C] display session table verbose 
Initiator: 
Source IP/Port : 10.153. 42. 16/2077 
Dest IP/Port : 10.153.42.59/80 
VPN-Instance/ VLAN ID/VLL ID: 
Responder: 
Source IP/Port : 10.153. 42.59/80 
Dest IP/Port : 10.153. 42.16/2077 
VPN-Instance/ VLAN ID/VLL ID: 


Pro: TCP(6) App: HTTP State: TCP-EST 
Start time: 2013-12-25 10:55:04 TTL: 6s 
Root Zone(in) :Untust 


Zone(out) :Trust 
Received packet(s) (Init) : 3564281 packet(s) 712856200 byte(s) 
Received packet(s) ( Reply) :3258462 packet(s) 645175476 byte(s) 
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产品 6.2.2 防火 墙 NAT 故障 排查 步骤 详解 


1. 开始 

NAT 是 防火 墙 最 主要 的 功能 之 一 ,防火 墙 的 会 话 记录 了 NAT 转化 的 所 有 信息 ,排查 
NAT 的 问题 时 要 结合 会 话 查看 。 防 火 墙 NAT 问题 定位 故障 的 思路 是 : 先 查看 防火 墙 上 是 否 
有 会 话 , 如 果 没 有 会 话 先 判断 防火 墙 是 否 收 到 报 文 , 然 后 依次 检查 防火 墙 NAT、 域 间 策 略 和 路 
由 等 相关 配置 ,确认 报 文 转发 路 径 正 确 且 没有 被 过 滤 ; 如 果 防 火 墙 上 有 会 话 , 就 检查 NA T 前 
后 的 地 址 是 否 正 确 , 收 发 报 文 是 否 正 常 , 如 果 收 发 报 文 不 正常 需要 根据 会 话 报 文 统计 情况 进 一 
步 排 查 内 外 网 路 由 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 会 话 

要 想 确 认 设 备 是 否 进行 了 正常 的 NAT 转换 ,最 直接 的 方法 就 是 查看 设备 的 会 话 信息 , 根 
据 会 话 可 以 看 到 NAT 转换 前 后 的 地 址 和 对 应 关系 。 

MA: display session table source-ip x.x. x.x destination-ip z. z. z. z verbose 

例如 : 通过 命令 可 以 看 到 源 为 192. 168. 5. 1 的 数据 报 文 经 过 防火 墙 NAT 转化 后 地 址 变 
成 了 60. 191. 66. 139 , 报 文 收 发 也 正常 。 


<H3C>display session table source-ip 192.168.5.1 destination-ip 60.170.255.12 verbose 
Initiator: 

Source IP/Port : 192.168.5.1/2048 

Dest IP/Port : 60.170. 255.12/3 

VPN-Instance/ VLAN ID/VLL ID: 
Responder: 

Source IP/Port :60.170.255. 12/0 

Dest IP/Port : 60.191.99.139/1026 

VPN-Instance/ VLAN ID/VLL ID: 


Pro: ICMP(1) App: unknown State: ICMP-CLOSED 
Start time: 2013-12-24 11:06:56 TTL: 30s 
Root Zone(in): Trust 


Zone(out): Untrust 
Received packet(s) (Init): 459 packet(s) 38556 byte(s) 
Received packet(s) ( Reply) : 459 packet(s) 38556 byte(s) 


Total find: 1 


(2) 排查 异常 侧 网 络 连通 性 

如 果 根 据 会 话 查 看 防火 墙 地 址 转换 正常 ,但 是 没有 收 到 响应 方 的 报 文 , 需 要 仔细 检查 防火 
墙 到 报 文 源 目的 两 端 地 址 的 路 由 ,同时 也 需要 仔细 检查 内 部 网 络 或 者 服务 器 到 防火 墙 的 路 由 ， 
确保 数据 流 的 来 回报 文 都 经 过 防火 墙 。 

命令 : display ip routing-table z. z. z. z 


例如 : 通过 命令 查看 内 网 和 外 网 的 路 由 都 正常 。 


<H3C>display ip routing-table 60.170.255.12 
Routing Table : Public 
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Summary Count : 1 
Destination/Mask Proto Pre Cost NextHop Interface 


0.0.0.0/0 Static 60 0 60.191.99.1 Vlan11 
<H3C>display ip routing-table 192.168.5.1 

Routing Table : Public 

Summary Count : 2 


Destination/Mask Proto Pre Cost NextHop Interface 
0.0.0.0/0 Static 60 0 60.191.99.1 Vlan11 
192.168.5.0/24 Static 60 0 10.0.0.2 Vlan10 


(3) 检查 NAT 配置 
如 果 防 火 墙 会 话 不 正常 , 先 查 看 NAT 的 配置 是 否 正确 ,这 里 分 以 下 几 种 情况 。 
O 检查 nat outbound 配置 。 
MS: display nat address-group x 
display nat bound 
display acl x 
例如 : 通过 命令 查看 NAT 的 地 址 池 、ACL 规则 以 及 下 发 接口 是 否 正常 ,ACL 规则 、ACL 
的 匹配 次 数 等 相关 配置 。 
<H3C>display nat address-group 1 


NAT address-group information: 
1 : from 60.191.99.139 to 60.191.99.139 


<H3C>display nat bound 
NAT bound information: 
There are currently1 nat bound rule(s) 
Interface: Vlan-interface1 1 
Direction: outbound ACL: 3000 Address-group: 1 NO-PAT: N Port-Preserved :N 
VPN-instance: --- 


<H3C>display acl 3000 

Advanced ACL 3000, named -none-, 2 rules, 

ACL's step is 5 
rule 0 permit ip source 192.168.5.0 0.0.0.255 (3 times matched) 
rule 5 permit ip source 10.0.0.0 0.0.0.255 


© 检查 NAT Server 配置 。 


命令 : display nat server 


[H3C]dis nat server 
NAT server in private network information: 
There are currently 1 internal server(s) 
Interface: Vlan-interfacell, Protocol: 6(tcp) 
Global: 60.191.99.20 : 8080 
Local : 192.168.5.1 :80 
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© 检查 NAT Static 配置 。 


W display nat static 


[H3C]display nat static 
NAT static information: 
There are currently 1 NA T static configuration(s) 


single static: 
Local-IP : 192.168.5.2 
Global-IP : 60.191.99.21 
Local-VPN per 
Global-VPN = 


NAT static enabled information: 
Interface Direction 


Vlan-interfacel1 out-static 


@ 检查 NAT Outbound 配置 。 

防火 墙 双 机 热 备 组 网 情况 下 ,要 求 两 台 防 火 墙 地 址 池 优先 级 不 同 , 主 防火 墙 优先 级 高 , 备 
防火 墙 优先 级 低 。 另 外 如 果 地 址 池 地 址 和 接口 地 址 在 同一 网 段 时 ,NAT 后 面 需要 track vrrp， 
否则 两 台 设备 的 地 址 池 都 会 响应 ARP ,防火 墙 上 下 行 设备 学 习 ARP 的 时 候 会 出 现 异常 ,track 
vrrp 以 后 ,只 有 master 设备 的 地 址 池 地 址 可 以 响应 ARP。 

命令 : display current-configuration | begin nat address-group 


display current-configuration | include nat outbound 


<H3C> display current-configuration | begin nat address-group 
nat address-group 1 60.191.99.139 60.191.99.139 level 1 
<H3C>display current-configuration | include nat outbound 

nat outbound 3000 address-group 1 track vrrp 11 

备 防火 墙 : 

<H3C> display current-configuration | begin nat address-group 
nat address-group 1 60.191.99.139 60.191.99.139 level 0 
<H3C>dis current-configuration | include nat outbound 

nat outbound 3000 address-group 1 track vrrp 11 


© 检查 NAT Server 配置 。 
如 果 NAT Server 的 公 网 地 址 和 接口 地 址 在 同一 网 段 时 也 需要 track vrrp。 


MS: display current-configuration | include nat server 


主 防火 墙 : 

[H3C] display current-configuration | include nat server 

nat server protocol tcp global 60.191.99.20 any inside 192.168.5.1 any track vrrp 11 
备 防 火 墙 : 

[H3C]display current-configuration | include nat server 

nat server protocol tcp global 60.191.99.20 any inside 192.168.5.1 any track vrrp 11 


@ 检查 NAT Static 配置 。 
同 理 , 如 果 NAT Static 的 公 网 地 址 和 接口 地 址 在 同一 网 段 时 也 需要 track vrrp。 


命令 : display current-con figuration | include nat outbound static 
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[H3C] display current-configuration | include nat outbound static 
nat outbound static track vrrp 11 

备 防火 墙 : 

[H3C] display current-configuration | include nat server 

nat outbound static track vrrp 11 


(4) 检查 域 间 策 略 

防火 墙 所 有 报 文 转发 都 是 基于 安全 区 域 的 ,所 有 除了 检查 NA T 配置 外 还 需要 检查 安全 
区 域 及 域 间 策 略 的 配置 ,确保 NAT 的 数据 流 不 会 被 防火 墙 丢 弃 。 

首先 查看 防火 墙 设备 上 相关 业务 接口 是 否 已 经 正确 地 加 入 安全 域 。 

MS: display current-con figuration | begin zone 


例如 : 通过 命令 查看 ,可 以 确认 内 外 两 个 业务 接口 已 经 正确 加 入 安全 域 。 


<H3C>dis current-configuration | begin zone 
zone name Management id 0 

priority 100 

import interface GigabitEthernet0/1 
zone name Local id 1 

priority 100 
zone name Trust id 2 

priority 85 

import interface Vlan-interface10 
zone name DMZ id 3 

priority 50 
zone name Untrust id 4 

priority 5 

import interface Vlanrinterfacel1 


确认 接口 已 经 加 入 安全 域 后 ,查看 相关 域 间 策略 ,确认 不 同 优先 级 间 的 状态 是 允许 状态 ， 
或 者 保证 发 起 方 为 高 优先 级 方 ,保证 数据 流 的 正常 建立 。 对 于 从 外 网 主动 发 起 访问 的 连接 , 比 
如 NAT Server 和 NAT Sitatic, 需 要 配置 域 间 策 略 允许 报 文通 过 ,这 里 要 重点 注意 : 防火 墙 接 
口 数据 报 文 的 处 理 流 程 是 先 处 理 NAT 再 处 理 报 文 过 滤 , 所 以 对 于 NAT Server 和 NA T 
Static, 域 间 策 略 允许 的 目的 地 址 是 私 网 地 址 。 

MA: display current-con figuration | begin interzone 


例如 : 通过 命令 查看 ,可 以 确认 untrust 到 trust 的 域 间 策略 已 经 部 分 放 通 。 


[H3C] display current-configuration | begin interzone 
interzone source Untrust destination Trust 
rule 0 permit 
source-ip any_address 
destination-ip 192.168.5.1/0.0.0.0 
service any_service 
rule enable 


(5) 检查 路 由 

如 果 防 火 墙 NAT 和 域 间 策略 配置 都 正确 ,但 是 会 话 不 正常 .可 以 检查 下 路 由 信息 。 如 果 
完全 没有 会 话 信息 ,可 能 是 设备 没有 收 到 数据 报 文 , 如 果 NAT 地 址 转换 错误 ,可 能 是 报 文 走 
了 不 同 的 出 接口 。 


命令 : display ip routing-table x. x. x.x 
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例如 : 通过 命令 查看 防火 墙 路 由 相关 是 否 正确 。 


<H3C>4isplay ip routing-table 60.170.255.12 
Routing Table : Public 
Summary Count : 1 


Destination/Mask Proto Pre Cost NextHop 


0.0.0.0/0 Static 60 0 60.191.99.1 
<H3C>display ip routing-table 192.168.5.1 

Routing Table : Public 

Summary Count : 2 


Destination/Mask Proto Pre Cost NextHop 


0.0.0.0/0 Static 60 0 60.191.99.1 
192.168.5.0/24 Static 60 0 10.0.0.2 


Interface 


Vlan11 


Interface 
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06 安全 产品 6.2.3 防火 墙 Web 网 管 故障 排查 ”人 SRE 


1. 开始 

Web 管理 是 V5 防火 墙 最 主要 的 管理 方式 之 一 , Web 网 管 需要 配合 浏览 器 来 使 用 ,所 以 
问题 的 排查 不 能 仅仅 针对 防火 墙 设备 ,还 需要 从 网 页 浏览 器 入 手 。Web 网 管 定位 故障 的 思路 
是 : 首先 检查 客户 端 和 防火 墙 管理 口 之 间 的 连通 性 ; 其 次 查看 防火 墙 W eb 网 管 相关 配置 是 否 
正确 .本 地 端口 监听 是 否 正 常 ; 再 次 检查 Web 登录 的 用 户 是 否 合法 ,防火 墙 在 线 用 户 数 以 及 
连接 数 是 否 在 设备 允许 的 范围 内 ; 最 后 检查 浏览 器 的 版 本 、 设 置 等 是 否 正确 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 设备 连通 性 

通过 Web 方式 管理 防火 墙 ,首先 要 确保 客户 端 到 管理 口 能 够 正常 通信 ,可 以 使 用 ping 等 
手段 简单 测试 ,或 者 通过 命令 行 登录 防火 墙 查看 是 否 建立 了 相关 会 话 。 如 果 通 信 不 正常 ,需要 
先 检 查 下 防火 墙 的 配置 是 否 正确 ,然后 再 检查 管理 流量 所 经 过 的 网 络 通信 是 否 正常 ,是 否 存在 
报 文 被 中 间 设 备 过 滤 的 情况 。 


MA: Ping t: z, Z; = 


display session table source-ip z. z. z. z verbose 


[H3C]ping 192.16.0.1 
PING 1.1.1.1: 56 data bytes, press CTRL_C to break 
Reply from 1.1.1.1: bytes=56 Sequence=0 ttl=255 time=1 ms 
Reply from 1.1.1.1: bytes=56 Sequence=1 ttl=255 time=1 ms 
Reply from 1.1.1.1: bytes=56 Sequence 一 2 ttl=255 time=1 ms 
Reply from 1.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms 
Reply from 1.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms 


[H3C]display session table source-ip 192.168.0.2 verbose 
Initiator: 

Source IP/Port :192.168.0.2/17456 

Dest IP/Port :192.168.0.1/80 

VPN-Instance/ VLAN ID/ VLL ID: 
Responder: 

Source IP/Port :192.168.0.1/80 

Dest IP/Port :192.168.0.2/17456 

VPN-Instance/ VLAN ID/ VLL ID: 


Pro: TCP(6) App: HTTP State: TCP-EST 
Start time: 2000-05-02 15:33:16 TTL: 3591s 
Root Zone(in) : Management 


Zone(out) : Local 
Received packet(s) (Init) : 2 packet(s) 92 byte(s) 
Received packet(s) (Reply) : 1 packet(s) 44 byte(s) 


(2) 检查 管理 口 配置 

如 果 连 通 性 测试 不 通过 ,请 检查 接口 地 址 和 接口 状态 是 否 正常 ,如 果 接 口 地 址 和 接口 状态 
正常 , 青 检查 接口 是 否 加 入 安全 区 域 ,通常 情况 下 最 好 把 管理 口 加 入 管理 区 域 。 

命令 : display ip interface interface-type interface-number 


zone add inter face inter face-type interface-number to management 
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[H3C] display ip interface GigabitEthernet 0/1 
GigabitEthernet2/1 current state :Up 

Line protocol current state :Up 

Internet Address is 192.168.0.1/24 Primary 


[H3C]_h 

Now you enter a hidden command view for developer's testing, some commands may 
affect operation by wrong use, please carefully use it with our engineer's 

direction. 

[H3C-hidecmd]zone add interface GigabitEthernet 0/1 to management 


(3) 检查 HTTPS 配置 
如 果 防 火 墙 启用 了 HTTPS 的 管理 方式 ,确认 防火 墙 HT TPS 服务 是 否 开 启 ,配置 是 否 正 
确 ,以 及 是 否 通 过 访问 控制 列表 限制 了 用 户 访问 等 。 
MA: display ip https 
display acl zzzx 
例如 : 通过 命令 查看 到 当前 使 用 HTTPS 的 管理 方式 ,HTTPS 的 登录 端口 号 是 443 , 关 
联 了 acl 2000 ,状态 为 激活 状态 。 


<H3C>display ip https 
HTTPS port: 443 

SSL server policy: 

Certificate access-control-policy: 
Basic ACL: 2000 

Current connection: 0 
Operation status: Running 


<H3C>display acl 2000 
Basic ACL 2000, named -none-,1 rules, 
ACL's step is 5 
rule 0 permit source 10.165.136.202 0 (122 times matched) 


如 果 HTTPS 管理 方式 启用 了 设备 默认 配置 ,没有 将 SSL 服务 器 端 策略 与 HTTPS 服务 
进行 关联 ,此 时 HTTPS 使 用 设备 默认 的 自 签名 证 书 , 可 通过 命令 检查 默认 证 书 是 否 存在 。 
命令 : display pki certificate ca domain default 
display pki certificate local domain default 


例如 : 通过 命令 查看 默认 CA 证 书 ,通常 其 CN 为 “cademo”, 有 效 期 10 年 。 


< H3C>4isplay pki certificate ca domain default 
Certificate: 
Data: 


Issuer: 
CN=cademo 
Validity 
Not Before: Nov 9 01:48:34 2007 GMT 
Not After : Nov 9 01:48:34 2017 GMT 
Subject: 
CN=cademo 
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例如 : 通过 命令 查看 默认 Local 证 书 , 通 常 其 CN 为 “cademo”, 有 效 期 10 年 。 


<H3C>display pki certificate local domain default 
Certificate: 
Data: 
Issuer: 
CN= cademo 
Validity 
Not Before: Nov 12 07:34:55 2007 GMT 
Not After : Nov 9 01:48:34 2017 GMT 
Subject: 
C=CN 
ST= localdemo 
L=localdemo 
O=localdemo 
OU=localdemo 
CN= localdemo 


如 果 将 SSL 服务 器 端 策略 与 HTTPS 服务 进行 了 关联 ,还 请 检查 设备 PKI 配置 是 否 正确 
(请 参考 云图 "PKI 故障 排查 ”) 。 

(4) 检查 HTTP 配置 

如 果 防 火 墙 启用 了 HTTP 的 管理 方式 ,确认 防火 墙 HTTP 服务 是 否 开启 ,使 用 的 端口 号 
以 及 是 否 通过 访问 控制 列 别 限制 了 用 户 访问 。 

MS: display ip http 

display acl xxxx 

例如 : 通过 命令 查看 到 当前 使 用 了 HTTP 的 管理 方式 ,HTTP 的 登录 端口 号 是 80 ,状态 
为 激活 状态 ,关联 了 acl 2000, 

<H3C>display ip http 

HTTP port: 80 

Basic ACL: 2000 


Current connection: 0 
Operation status: Running 


<H3C>display acl 2000 
Basic ACL 2000, named -none-,1 rules, 
ACL's step is 5 
rule 0 permit source 10.165.136.202 0 (122 times matched) 


(5) 检查 Web 用 户 配置 
确认 用 户 状态 和 用 户 登 录 界 面 配置 正确 ,查看 对 应 的 用 户 状态 是 否 为 激活 状态 ,是 否 赋予 
用 户 相关 的 登录 方式 和 用 户 权限 ,开启 了 何 种 认证 方式 ,并 且 确 认 当 前 在 线 的 Web 用 户 数 量 
是 否 达到 上 限 ,目前 防火 墙 Web 同时 登录 的 最 大 用 户 数 是 5。 
命令 : display local-user user-name user-name 
display user-interface vty vty-number 
display web users 


例如 : 通过 命令 查看 ,可 以 看 到 当前 本 地 用 户 状态 为 Active, 授 权 给 用 户 的 登录 方式 为 
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telnet/web, 用 户 的 管理 级 别 为 3 级 ; 用 户 界面 配置 的 认证 方式 为 AAA 认证 ,示例 使 用 了 本 
也 用 户 认证 ,如 果 使 用 了 radius 服务 器 作为 用 户 认证 服务 器 需 男 外 检查 radius 服务 器 状态 ; 
当前 在 线 Web 用 户 数 量 为 1 个 。 


<H3C>display local-user user-name admin 
The contents of local user admin: 


VD 

State: Active 

ServiceType: telnet/web 

Access-limit: Disabled Current AccessNum: 0 
User-group: system 


Bind attributes: 

Authorization attributes: 

User Privilege: 3 
Total 1 local user(s) matched. 
<H3C>display user-interface vty 0 


Idx Type Tx/Rx Modem Privi Auth Int 

4 VTYO à 0 A = 
<H3C>dis web users 
UserID Name Language Level State LinkCount LoginTime LastTime 
abb30000 h3c Chinese Management Enable 0 08:52:22 08:52:30 


(6) 检查 设备 本 地 端口 连接 状态 
确认 防火 墙 本 地 监听 端口 是 否 正常 ,另外 设备 Web 管理 Established 状态 的 本 地 连接 数 
上 限 值 为 100, 一 旦 超过 上 限 新 的 连接 就 不 能 建立 ; 如 果 出 现 超出 上 限 的 现象 ,建议 通过 配置 
ACL 的 方式 限制 登录 的 用 户 数 。 
命令 : display tcp status 
ip http acl z=zzz 
ip https acl z=zzz 
display acl zzzz 
例如 : 通过 命令 查看 ,可 以 看 到 当前 防火 墙 监听 了 本 地 端口 80 和 443 ,而 且 Established 
状态 连接 数 存在 1 条 ,并 建立 acl 2000, 仅 允许 合法 的 网 管 地 址 管理 防火 墙 。 


[H3C] display tcp status 
* : TCP MD5 Connection 


TCPCB Local Add: port Foreign Add: port State 
10f5cfc0 0.0.0.0:443 0.0.0.0:0 Listening 
105e0c60 0.0.0.0:80 0.0.0.0:0 Listening 
1103a820 10.255.255.23:80 10.255.255.1:17331 Established 


[H3CJip http acl 2000 


[H3C] display acl 2000 

Basic ACL 2000, named -none-,1 rules, 

ACL's step is 5 

rule 0 permit source 10. 165.136.202 0 (122 times matched) 


CT) 检查 浏览 器 设置 
防火 墙 Web 网 管 支持 的 浏览 器 包括 : Microsoft Internet Explorer 6. 0 SP2 及 以 上 版 本 、 
Mozilla Firefox 3. 0 及 以 上 版 本 、Google Chrome 2. 0. 174. 0 及 以 上 版 本 ,其 中 Microsoft 
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Internet Explorer 9. 0 以 上 (包括 ) 版 本 最 好 开启 兼容 模式 。 如 果 版 本 在 上 述 范围 之 内 ,仍然 
无 法 登录 防火 墙 Web 界面 ,请 检查 浏览 器 是 否 开 启 代理 ,另外 ,如 果 是 设备 升级 后 出 现 界面 显 
示 错 误 或 不 全 的 问题 ,可 以 通过 清空 浏览 器 缓存 解决 。 

例如 : 查看 I 浏览 器 的 版 本 ,如 图 6-52 所 示 。 


图 6-52 查看 正 浏 览 器 版 本 


设备 的 软件 版 本 变化 后 ,在 通过 Web 网 管 登录 设备 时 ,建议 先 清除 浏览 器 的 缓存 数据 , 否 
则 Web 网 管 的 内 容 可 能 无 法 正确 显示 。 
例如 : 清除 IE 浏览 器 缓存 ,如 图 6-53 所 示 。 


` 若 要 创建 主页 选项 卡 ， 请 在 各 地 址 行 键入 地 址 | 
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产品 6.2.4 防火 墙 丢 包 故障 排查 Pse: 


1. 开始 

防火 墙 丢 包 问 题 定位 故障 的 思路 是 : 首先 确定 发 生 丢 包 的 具体 位 置 和 丢弃 报 文 方向 , 然 
后 再 具体 分 析 产 生 丢 包 的 原因 。 在 现场 条 件 允 许 的 前 提 下 ,最 好 先 利用 交换 机 流量 统计 策略 
或 抓 包 等 方式 判断 丢 包 发 生 的 准确 位 置 ,确认 是 否 防 火 墙 造成 ; 然后 再 依次 对 防火 墙 的 端口 
状态 .CPU/ 内 存 、 配 置 等 进行 检查 ; 如 果 防 火 墙 出 现 临时 性 丢 包 , 则 应 重点 检查 在 发 生 丢 包 
时 ,会 话 表 项 统计 及 快速 转发 统计 ,如 果 这 些 统计 值 出 现 异常 ,往往 是 由 于 突 发 性 的 异常 流量 
短 时 间 内 在 防火 墙 上 创建 了 大 量 无 用 会 话 表 项 .影响 了 防火 墙 转发 性 能 导致 ,通过 合理 地 优化 
配置 或 消除 攻击 源 即 可 解决 。 

2. 流程 图 相关 操作 说 明 

(1) 是 否 本 防火 墙 丢 包 

通常 情况 下 , 丢 包 类 问题 是 网 络 工程 师 利 用 ICMP ping 测试 发 现 的 。 在 现场 条 件 允 许 的 
前 提 下 ,建议 对 ping 测试 的 数据 包 实 施 流量 统计 ,以 明确 丢 包 问题 是 否 发 生 在 本 防火 墙 设备 
上 。 安 全 产品 目前 不 支持 流量 统计 功能 ,因此 需要 在 相连 的 上 下 行 交换 机 端口 上 进行 操作 , 防 
火 墙 插 卡 可 以 直接 在 宿主 路 由 交换 主机 与 防火 墙 单 板 的 内 联接 口上 进行 操作 。 对 于 无 法 在 路 
由 交换 设备 上 实施 流量 统计 的 组 网 情形 .可 以 通过 在 流量 入 /出 防火 墙 的 端口 位 置 抓 包 ,通过 
对 比 进入 防火 墙 之 前 和 经 过 防火 墙 之 后 的 报 文 情况 来 判断 数据 包 经 防火 墙 转发 后 ,是 否 出 现 
了 丢 包 \ 乱 序 等 异常 现象 。 


命令 : acl number zzzz 


rule x permit icmp source z. z. x.x 0 destination z. z. z. z 0 

tra f fic classifier xxxx 

if-match acl xxxx 

tra f fic behavior accounting 

qos policy accounting 

classi fier xxxx behavior xrxxx 

qos apply policy xxxx inbound 

qos apply policy xxxx outbound 

display qos policy inter face z=z=zz 

例如 : 通过 在 宿主 交换 机 与 防火 墙 插 卡 的 内 联接 口 Ten5/0/1 双方 向 配置 流量 统计 策略 ， 

可 以 观察 10. 0. 0. 1( 客 户 端 ) 与 172. 16. 0. 1( 服 务 器 ) 之 间 的 ping 报 文 在 经 过 防火 墙 转 时 ,是 
否 存 在 丢 包 。 具 体 配 置 方 法 为 先 创建 两 条 ACL, 分 别 匹 配 正 反方 向 的 ICMP 报 文 , 然 后 配置 
流量 统计 策略 ,应 用 在 内 联 口 上 。 注 意 ,要 对 上 行 方向 经 过 防火 墙 前 /后 ,以 及 下 行 方 向 经 过 防 
火 墙 前 /后 的 报 文 分 别 进行 统计 ,这 样 不 仅 可 以 一 次 性 判断 防火 墙 是 否 有 丢 包 ,还 可 以 判断 在 
哪个 方向 上 存在 丢 包 。 注 意 ,ACL 规则 的 配置 必须 精确 ,否则 会 使 统计 策略 匹配 无 关 报 文 , 影 
响 统计 结果 和 问题 判断 。 
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# 

[H3C] acl number 3001 

[H3C-acl-adv-3001] rule 5 permit icmp source 10.0.0.1 0 destination 172.16.0.1 0 
# 
[H3C] acl number 3002 

[H3C-acl-adv-3002] rule 5 permit icmp source 172.16.0.1 0 destination 10.0.0.1 0 
# 
[H3C] traffic classifier client_to_server 
[H3C-classifier-client_to_server] if-match acl 3001 
# 
[H3C] traffic classifier server_to_client 
[H3C-classifier-server_to_client] if-match acl 3002 
# 
[H3C] traffic behavior accounting 
[H3C -behavior-accounting] accounting 
# 
[H3C] qos policy accounting 

[H3C-qospolicy-accounting] classifier client_to_server behavior acc 
[H3C-qospolicy-accounting] classifier server_to_client behavior acc 

# 

[H3C-Ten-GigabitEthernet5/0/1] qos apply policy accounting inbound 
[H3C-Ten-GigabitEthernet5/0/1] qos apply policy accounting outbound 


流量 统计 策略 配置 完成 后 ,再 次 进行 ping 测试 ,然后 查看 统计 结果 。 通 过 对 比 双向 的 报 
文 收发 统计 ,就 可 以 判断 总 共 发 送 至 防火 墙 多 少 个 报 文 ,从 防火 墙 转发 回 交换 机 多 少 个 报 文 。 
如 果 从 防火 墙 接收 的 报 文 个 数 少 于 发 送 至 防火 墙 的 报 文 个 数 , 则 说 明 本 防火 墙 确实 存在 丢 包 。 
如 果 防 火 墙 未 丢 包 ,但 ping 发 起 方 至 ping 响应 方 统计 到 的 报 文 个 数 少 于 ping 操作 的 报 文 数 ， 
则 可 以 判断 丢 包 是 出 现在 ping 发 起 方 与 防火 墙 之 间 的 某 个 位 置 ; 反之 , 则 丢 包 是 出 现在 ping 
响应 方 与 防火 墙 之 间 的 某 个 位 置 。 

如 示例 所 示 , 从 客户 端 向 服务 器 端 总 共 ping 10 次 ,ping 测试 结果 显示 通 了 9 次 ,1 次 超 
时 。 交 换 机 上 的 流量 统计 策略 结果 显示 ,正方 向 10 个 报 文 全 部 转发 给 了 防火 墙 , 并 且 从 防火 
墙 接收 到 10 个 报 文 ; 而 反方 向 交换 机 仅 向 防火 墙 转发 了 9 个 报 文 ,并 且 从 防火 墙 也 接收 到 了 
9 个 报 文 。 该 结果 证 明 ,网络 中 确实 存在 丢 包 问题 ,但 不 是 防火 墙 引起 的 ; 更 进一步 地 ,可 以 
初步 判断 丢 包 是 发 生 在 服务 器 与 防火 墙 之 间 的 某 个 位 置 上 。 


<H3C> display qos policy interface Ten-GigabitEthernet 5/0/1 
Interface: Ten-GigabitEthernet5/0/1 
Direction: Inbound 


Policy:accounting 
Classifier: client_to_server 
Operator: AND 
Rule(s) : If-match acl 3001 
Behavior: accounting 
Accounting Enable: 
10 (Packets) 
Classifier: server_to_client 
Operator: AND 
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Rule(s) : If-match acl 3002 
Behavior: accounting 
Accounting Enable: 
9 (Packets) 


Direction: Outbound 


Policy:accounting 
Classifier: client_to_server 
Operator: AND 
Rule(s) : If-match acl 3001 
Behavior: accounting 
Accounting Enable: 
10 (Packets) 
Classifier: server_to_client 
Operator: AND 
Rule(s) : If-match acl 3002 
Behavior: accounting 
Accounting Enable: 
9 (Packets) 


(2) 排查 其 他 设备 问题 


若 确 认 丢 包 问 题 不 是 本 防火 墙 引起 ,应 进一步 排查 其 他 设备 问题 。 判 断 丢 包 发 生 的 具体 
位 置 及 方向 仍 可 参考 步骤 (1) 中 提供 的 思路 及 方法 。 建 议 采 用 分 段 排查 法 ,逐步 缩小 范围 。 如 


果 最 终 定位 丢 包 确 由 非 H3C 品牌 设备 引起 ,建议 及 时 联系 相应 的 技术 服务 团队 分 析 处 理 。 
(3) 检查 设备 端口 状态 统计 


检查 防火 墙 端口 物理 层 、 链 路 层 状态 是 否 正常 ,检查 端口 的 速率 、 双 工 协商 状态 ,注意 同时 
检查 对 端 接口 的 相关 属性 是 否 与 本 端 协商 一 致 。 检 查 端 口 出 方向 队列 是 否 发 生 拥 塞 . 是 否 出 
现 错 包 等 。 若 端口 状态 异常 或 人 方向 错 包 统 计 持 续 增 加 ,应 优先 检查 物理 线路 是 否 存在 故障 ， 


建议 通过 蔡 换 法 进行 对 比 测试 。 
MS: display inter face interface-type inter face-number 


例如 : 在 CLI 界 面 下 检查 防火 墙 端口 GigabitEthernet 0/1 的 状态 和 统计 信息 。 


<H3C> display interface GigabitEthernet 0/1 
GigabitEthernet0/1 current state: Up 
Line protocol current state: Up 
Description: GigabitEthernet0/1 Interface 
The Maximum Transmit Unit is 1500 
Internet Address is 10. 255.255.13/24 Primary 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e280-de8e 
IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e280-de8e 
Media type is twisted pair, loopback not set, promiscuous mode not set 
1000Mb/s, Full-duplex, link type is autonegotiation 
Output flow-control is disabled, input flow-control is disabled 
Output queue : (Urgent queuing : Size/Length/ Discards) 0/100/ 0 
Output queue : (Protocol queuing : Size/Length/ Discards) 0/500/ 0 
Output queue : (FIFO queuing : Size/Length/ Discards) 0/75/ 0 
Last clearing of counters: Never 
Last 300 seconds input rate 43 bytes/sec, 344 bits/sec, 0 packets/sec 
Last 300 seconds output rate21 bytes/sec, 110 bits/sec, 0 packets/sec 
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Input: 2375264 packets, 0 jumboes, 151311918 bytes, 2375264 buffers 
272229 broadcasts, 6757 multicasts, 0 pauses 
0 errors, 0 runts, 0 giants 
0 crc, 0 align errors, 0 overruns 
0 dribbles, 0 drops, 0 no buffers 
Output:17451 packets, 7045543 bytes, 17451 buffers 
2 broadcasts，0 multicasts, 0 pauses 
0 errors, 0 underruns, 0 collisions 
0 deferred, 0 drops, 0 lost carriers 


(4) 检查 CPU/ 内 存 利用 率 

检查 设备 CPU/ 内 存 利 用 率 ,确认 设备 是 否 出 现 业务 繁忙 。 若 CPU 利用 率 持续 超过 
20%, 可 参考 安全 云图 一 一 CPU 利用 率 高 进行 排查 。 同 理 ,对 于 内 存 高 问题 可 参考 安全 云 
图 一 一 内 存 利用 率 高 进行 排查 。 

MA: display cpu-usage 


display memory 


例如 : 在 CLI 界 面 下 查看 CPU/ 内 存 利 用 率 。 


<H3C> display cpu-usage 
Unit CPU usage: 
7% in last 5 seconds 
4% in last 1 minute 
3% in last 5 minutes 


<H3C>display memory 

System Total Memory(bytes) : 3200233280 
Total Used Memory(bytes) : 947455312 
Used Rate: 29% 


H3CComware V5 平台 防火 墙 基于 多 核 多 线程 硬件 架构 设计 ,可 通过 高 级 命令 查看 到 各 
CPU 硬件 线程 的 负载 情况 。 通 常情 况 下 各 硬件 线程 负载 相对 平均 。 如 果 发 现 某 个 CPU 线程 
负载 始终 远 高 于 其 他 线程 , 则 很 可 能 是 由 于 网 络 中 存在 单个 流量 较 大 的 异常 会 话 , 当 这 条 流量 
调度 至 该 线程 处 理 后 造成 其 负载 过 大 ,超过 了 单个 CPU 线程 的 处 理 能 力 。 针 对 这 种 情况 , 比 
较 有 效 的 方法 是 通过 抓 包 等 手段 先 查看 具体 的 异常 流量 ,判断 其 来 源 ,然后 再 通过 黑 名 单 . 域 
间 策 略 攻击 防范 .路 由 交换 设备 上 的 包 过 滤 策 略 等 手段 屏蔽 该 流量 ; 如 果 异 常 流量 来 源 自 内 
网 ,建议 直接 找 出 并 消除 攻击 源 。 

命令 : tshow mainboard cpu-usage all 

例如 : 在 CLI 界 面 下 查看 CPU 各 硬件 线程 负载 情况 。 在 本 例 中 13 号 线程 负载 持续 达到 
99% ,说 明 该 线程 负载 过 大 ,经 抓 包 确 认 防 火 墙 端口 持续 接收 到 大 流量 重复 的 ARP 报 文 , 进 
一 步 对 网 络 进行 排查 时 发 现 防火 墙 下 联 二 层 网 络 存在 环 路 ,于 是 产生 了 ARP 报 文 风暴 。 二 
层 环 路 复制 产生 的 报 文 全 部 相同 ,因此 在 CPU 多 核 调 度 时 都 上 送 了 单个 硬件 线程 处 理 , 这 时 
如 果 还 有 其 他 普通 业务 报 文 也 调度 至 该 硬件 线程 时 便 会 出 现 丢 弃 问题 。 
[H3C_hidecmd]tshow mainboard cpu-usage all 

VCPU usage information: 
U3% 
2 4% 
3 5% 
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(5) 检查 虚拟 分 片 重组 

若 ping 测试 结果 显示 设备 可 以 正常 转发 一 般 长 度 IP 报 文 (小 于 1500 字 节 ), 随 机 丢弃 大 
报 文 (大 于 1500 字 节 ) ,设备 同时 上 报 IP 分 片 攻击 日 志 (atckType 一 Frag Flood) ,这 时 应 检查 
虚拟 分 片 重组 功能 是 否 已 经 启用 ,配置 参数 是 否 合理 。 默 认 情 况 下 每 个 安全 区 域 可 同时 处 理 
64 个 IP 大 包 , 每 个 报 文 最 多 可 以 分 16 个 分 片 ,重组 时 限 为 3 秒 。 根 据 以 太 网 类 型 链 路 MTU 
1500 字 节 粗略 计算 ,防火 墙 默 认 配 置 下 可 以 转发 长 度 为 1500X16 二 24000 字 节 的 IP 包 ,更 大 
的 IP 包 会 判定 为 分 片 攻击 并 被 防火 墙 丢 弃 处 理 。 在 多 数 场景 中 ,可 以 将 虚拟 分 片 重组 功能 的 
“分 片 队列 数 ” 调 整 至 1024 ,将 “分 片 报 文 数 ?调整 至 64, 老 化 时 间 保 持 不 变 ,然后 再 进行 测试 确 
认 。 这 类 问题 通常 是 工程 师 ping 大 包 测试 时 发 现 的 ,而 一 般 的 业务 流通 常 是 TCP 或 UDP BP 
议 承载 ,TCP 业务 可 以 通过 调整 TCP MSS 参数 控制 报 文 不 在 IP 层 进行 分 片 操作 ,UDP 业务 
通常 都 是 小 包 也 不 会 在 IP 层 进 行 分 片 ,所 以 通常 不 涉及 。 如 果 网 络 中 存在 IPSec 业务 流 ,应 
当 注 意 进行 调整 ,避免 IPSec 封装 后 的 报 文 超过 MTU (H fE IP 层 分 片 后 ,由 于 防火 墙 虚拟 分 
片 重组 功能 而 丢弃 。 

命令 : ip virtual-reassembly max-fragments xxx mazx-reassemblies 工 工 工 工 

例如 : 在 CLI 界面 下 ,进入 Untrust 区 域 视 图 ,使 能 虚拟 分 片 重组 功能 配置 并 调整 参数 。 
Web 配置 界面 中 也 可 以 进行 相关 配置 及 参数 修改 。 


[H3C] zone name Untrust 
[H3C-zone-Untrust] ip virtual-reassembly max-fragments 64 max-reassemblies 1024 


(6) 检查 会 话 统计 

防火 墙 从 业务 端口 接收 到 报 文 后 ,会 利用 防火 墙 会 话 表 项 对 该 报 文 是 否 符合 协议 状态 机 、 
是 否 为 域 间 策 略 所 允许 等 进行 一 系列 检查 ,对 检查 不 通过 的 报 文 将 丢弃 处 理 。 在 正常 运行 过 
程 中 ,防火 墙 会 不 断 地 新 建 会 话 表 项 和 保持 会 话 表 项 ,如 果 防火 墙 在 会 话 表 项 老化 时 间 内 , 始 
终 没有 再 接收 到 双向 业务 报 文 时 还 会 主动 删除 该 会 话 表 项 。 在 防火 墙 的 会 话 表 统计 信息 中 ， 
网 络 管理 员 可 以 查看 到 本 防火 墙 的 新 建 连接 速率 、 当 前 并 发 连接 总 数 、 接 收报 文 统计 、 丢 弃 报 
文 统计 等 。 通 过 将 新 建 连接 速率 、 当 前 并 发 连接 总 数 与 日 常 运 维 过 程 中 所 观察 记录 的 数据 做 
对 比 , 可 以 判断 防火 墙 是 否 正在 受到 异常 流量 攻击 ,是 否 创建 了 大 量 的 无 效 会 话 。 

MA: display session statistics 

例如 : 某 防火 墙 在 正常 运行 过 程 中 ,管理 员 通 过 命令 观察 到 会 话 统计 信息 如 下 所 示 。 甚 
中 ,会 话 表 项 总 数 为 4.7 万 ,TCP 连接 8159 个 , 半 开 连接 1757 个 ; 防火 墙 会 话 表 项 每 秒 新 建 
约 1600 个 ,各 项 数据 符合 预期 ,实际 网 络 业务 运行 正常 。 
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Received 
Received 
Received 
Received 
Dropped 
Dropped 
Dropped 
Dropped 


<H3C> display session statistics 
Current session(s) :47197 


TCP: 
UDP: 
ICMP: 
RAWIP: 
TCP: 
UDP: 
ICMP: 
RAWIP: 


2961011924 packet(s) 
8143088477 packet(s) 
117875937 packet(s) 
1546303 packet(s) 
146473628 packet(s) 
4667609 packet(s) 
18230886 packet(s) 
52 packet(s) 


Current TCP session(s) : 8159 
Half-Open: 1757 Half-Close: 807 

Current UDP session(s) : 36984 
Current ICMP session(s) : 2054 
Current RAWIP session(s): 0 

Current relation table(s): 3 

Session establishment rate: 1641/s 
TCP Session establishment rate: 660/s 
UDP Session establishment rate: 915/s 
ICMP Session establishment rate: 66/s 
RAWIP Session establishment rate: 0/s 


1967012350403 byte(s) 
4811797756742 byte(s) 
7833600288 byte(s) 
225944006 byte(s) 
5965991706 byte(s) 
503717261 byte(s) 
1855796027 byte(s) 
4573 byte(s) 


在 某 时 间 点 用 户 反馈 网 络 突然 出 现 丢 包 问题 ,通过 命令 观察 到 如 下 所 示 的 会 话 统计 信息 。 
其 中 ,会 话 总 数 已 经 激增 到 135.8 万 ,其 中 TCP 连接 132 万 ,而 TCP 半 开 连接 就 有 131 万 ， 
TCP 半 开 连接 比率 高 达 99.3%; 此 时 防火 墙 会 话 表 项 每 秒 新 建 连接 数 也 达到 6. 5 万 , 远 远 高 
于 日 常 观察 值 。 从 以 上 信息 可 以 判断 ,目前 网 络 中 存在 典型 的 TCP SYN Flood 攻击 流量 。 针 
对 这 类 攻击 ,可 以 先 利 用 当前 设备 的 会 话 表 项 详细 信息 来 分 析 特 点 和 来 源 , 如 果 攻 击 是 来 源 于 
网 络 外 部 或 Internet 的 ,一般 通过 启用 攻击 防范 手段 来 防御 ,方法 包括 黑 名 单 、 域 间 策 略 、 流 量 
异常 检测 等 ; 如 果 攻 击 是 来 源 于 网 络 内 部 的 ,最 好 的 方法 就 是 直接 找到 这 个 内 部 攻击 源 并 


消除 。 


Current 


Half-Open:1315375 


Current 
Current 


<H3C> display session statistics 
Current session(s) : 1358079 


TCP session(s) :1324027 


UDP session(s) : 33995 
ICMP session(s): 57 


Current 


Session establishment rate: 


TCP 
UDP 
ICMP 


RAWIP session(s): 0 


Current relation table(s): 9 


65172/s 
Session establishment rate: 
Session establishment rate: 
Session establishment rate: 


RAWIP Session establishment rate: 


Half-Close: 1455 


63640/s 
1522/s 
10/s 
0/s 
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Received TEP: 2945317802 packet(s) 1963716576218 byte(s) 
Received UDP: 8133194950 packet(s) 4806408621655 byte(s) 
Received ICMP: 117822713 packet(s) 7829261947 byte(s) 
Received RAWIP: 1546250 packet(s) 225938755 byte(s) 
Dropped TCP: 145438758 packet(s) 5924334398 byte(s) 
Dropped UDP: 4642510 packet(s) 500942861 byte(s) 
Dropped ICMP: 18230740 packet(s) 1855789890 byte(s) 
Dropped RAWIP: 52 packet(s) 4573 byte(s) 


(7) 检查 快速 转发 

H3CComware V5 平台 防火 墙 支持 报 文 快 速 转发 特性 。 当 防火 墙 接收 到 业务 报 文 后 ,将 
优先 通过 快速 转发 处 理 ; 不 支持 快速 转发 的 业务 流 再 按照 普通 流程 处 理 。 防 火 墙 快速 转发 状 
态 统计 中 ,包括 是 否 已 经 启用 快速 转发 功能 等 非常 详细 的 相关 信息 。 在 进行 丢 包 问题 排查 时 ， 
主要 关注 的 统计 项 为 “Forward packets” 一 一 经 快速 转发 处 理 的 报 文 个 数 ;“Up packets”— 
经 普通 流程 转发 的 报 文 个 数 ;“Up failed packets” 一 一 转发 丢弃 的 报 文 个 数 。 如 果 “Up failed 
packets” 计 数 增长 较 快 ,可 以 尝试 对 防火 墙 实 施 配置 优化 ,以 期 让 更 多 的 业务 报 文 经 快速 转发 
流程 处 理 来 提高 性 能 。 主 要 的 优化 方法 包括 : 关闭 不 使 用 的 ALG 协议 模块 、 取 消 不 必要 的 
QoS 策略 ,减少 频繁 的 ARP 和 路 由 表 项 振荡 、 配 置 目的 安全 区 域 为 Local 的 阻 断 域 间 策略 ( 注 
意 允 许 管理 流量 通过 ) 以 加 固 防火 墙 自 身 安全 、 调 短 会 话 表 项 生存 时 间 以 加 快 无 效 会 话 的 老化 
删除 等 。 

MA: display ip fast-forwarding statistics 

例如 : 通过 命令 查看 当前 设备 快 转 状 态 , 其 中 经 快速 转发 处 理 报 文 12339 个 ,普通 转发 流 
程 处 理 报 文 1056 个 ,没有 出 现 转发 丢弃 报 文 。 


[H3C-hidecmd] display ip fast-forwarding statistics 
Ip fast-forwarding state : enable 
Ip fast-forwarding enable 


Sum statistics 


Forward packets 12339 
Up packets 1056 
Up failed packets 0 


Up redirect packets 
Forward redirect packets 
TTL error packets 

Bad checksum 

Bad IP head len 

Bad len 

Hardware dropped packets 0 
Software dropped packets 0 
Create session 0 
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防火墙 内 有 利用 率 高 故障 排查 
— 表 元 上 一步 结果 正高 
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产 T 6.2.5 防火 墙 内 存 利用 率 高 ' 


1. 开始 

内 存 利用 率 高 是 防火 墙 最 常见 的 问题 之 一 ,防火 墙 会 话 是 占用 内 存 的 主要 模块 ,所 以 定位 
内 存 利 用 率 高 的 问题 要 重点 关注 防火 墙 的 会 话 及 流量 等 信息 。 防 火 墙 内 存 利用 率 高 问题 定位 
故障 的 思路 是 : 首先 查看 会 话 总 数 是 否 正常 ,如 果 会 话 总 数 太 多 可 能 是 因为 流量 太 大 或 者 存 
在 攻击 ,此 时 可 以 通过 抓 包 或 者 查看 会 话 等 手段 查找 异常 的 流量 并 进行 相应 处 理 ; 如 果 会 话 
数 不 多 但 占用 率 依然 很 高 ,有 可 能 是 内 存 碎片 过 多 或 者 挂 死 无 法 释放 等 问题 ,需要 收集 设备 内 
存 详细 信息 进一步 分 析 定 位 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 内 存 利用 率 

fü > display memory 

一 般 情况 内 存 使 用 率 建 议 不 高 于 70% ,如 果 持 续 高 于 70% ,需要 引起 关注 。 


[H3C] display memory 

System Total Memory(bytes): 1874838960 
Total Used Memory( bytes): 1048363440 
Used Rate: 55% 


(2) 查看 会 话 统计 信息 

如 果 防 火 墙 收 到 异常 流量 或 者 网 络 存在 攻击 ,会 话 统计 信息 会 有 明显 异常 ,例如 会 话 总 
数 . 半 开 连 接 数 以 及 会 话 新 建 速率 等 参数 都 会 明显 高 于 正常 值 , 所 以 查看 会 话 统 计 的 时 候 要 重 
点 关注 这 几 个 参数 。 

MS: display session statistics 

例如 : 网 络 受到 SYN-Flood 攻击 ,TCP 连接 总 数 和 连接 速率 都 明显 偏 高 ,而 且 大 部 分 
TCP 连接 都 是 半 开 连接 。 


[H3C] display session statistics 
Current session(s) :2959981 
Current TCP session(s) : 2827396 
Half-Open: 2765555 Half-Close: 24194 
Current UDP session(s) : 132052 
Current ICMP session(s): 532 
Current RAWIP session(s): 1 


Current relation table(s): 14 


Session establishment rate: 60815/s 
TCP Session establishment rate: 59599/s 
UDP Session establishment rate: 1207/s 


(3) 查看 会 话 明细 
防火 墙 的 会 话 记 录 了 经 过 防火 墙 的 每 一 条 数据 流 的 详细 信息 ,查看 会 话 明细 的 时 候 重点 
关注 源 目地 IP 和 端口 安全 域 间 、 会 话 状态 和 双向 收发 报 文 计数 。 根 据 会 话 详 细 信 息 , 可 以 初 
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步 判断 网 络 中 是 否 有 异常 流量 ,以 及 异常 流量 的 IP 地址、 端口 等 信息 。 

命令 : display session table verbose 

例如 : 通过 命令 可 以 看 到 当前 防火 墙 上 有 一 条 10. 0.0. 1 到 10. 255. 255. 43 的 数据 流 , 协 
议 是 TCP, 具 体 应 用 是 Telnet, 会 话 的 状态 是 TCP-EST, 报 文 的 源 域 是 Untrust, 目的 域 是 
Trust, 收 发 报 文 都 正常 。 


[H3C] display session table verbose 
Initiator: 
Source IP/Port : 10.0.0.01/5420 
Dest IP/Port : 10.255.255.43/23 
VPN-Instance/VLAN ID/VLL ID: 
Responder: 
Source IP/Port : 10.255.255.43/23 
Dest IP/Port : 10.0.0.1/5420 
VPN-Instance/ VLAN ID/VLL ID: 


Pro: TCP(6) App: TELNET State: TCP-EST 
Start time: 2013-05-03 13:28:40 TTL: 3600s 
Root Zone(in): Untrust 


Zone(out): Trust 
Received packet(s) (Init): 32 packet(s) 1346 byte(s) 
Received packet(s) (Reply): 30 packet(s) 1785 byte(s) 


(4) 检查 是 否 存在 异常 流量 

进一步 查看 会 话 详细 信息 ,可 以 初步 判断 网 络 中 是 否 有 异常 流量 ,以 及 异常 流量 的 IP 地 
址 、 端 口 等 信息 。 可 以 通过 查看 多 条 会 话 详细 信息 查找 规律 , 男 外 还 可 以 通过 抓 包 的 方式 查看 
异常 流量 的 信息 。 

MS: display session table verbose 

例如 : 通过 命令 查看 多 条 详细 会 话 信息 ,受到 SYN Flood 攻击 的 设备 会 话 详细 有 如 下 特 
点 : 会 话 状态 SYN ,一 般 目的 IP 比较 固定 ,大 多 数 情况 是 内 部 的 服务 器 , 反 向 可 能 没有 回 包 。 

另外 除 攻 击 流量 外 还 可 能 防火 墙 外 部 环 路 或 者 内 部 环 路 使 得 并 发 较 高 ,这 类 报 文 显著 特 
点 是 进出 区 域 相 同 ,结合 正常 路 由 判断 进出 区 域 判断 是 否 正常 。 如 果 不 能 单 从 会 话 信息 判断 
故障 ,可 以 考虑 在 防火 墙 前 后 抓 包 分 析 。 


[h3c]display session table verbose 
Initiator: 
Source IP/Port : 255.91.195.14/26851 
Dest IP/Port : 115.239.230.214/7444 
VPN-Instance/ VLAN ID/VLL ID: 
Responder: 
Source IP/Port : 115.239.230.214/7444 
Dest IP/Port : 255.91.195.14/26851 
VPN-Instance/ VLAN ID/ VLL ID: 


Pro: TCP(6) App: unknown State: SYN 
Start time: 2013-04-18 03:35:46 TTL: 0s 
Root Zone(in) :Untrust 


Zone(out) :Trust 
Received packet(s) (Init) : 1 packet(s) 40 byte(s) 
Received packet(s) (Reply) : 0 packet(s) 0 byte(s) 
Initiator: 
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Source IP/Port : 137.114.132.16/25480 

Dest IP/Port : 115.239.230.214/7444 

VPN-Instance/ VLAN ID/ VLL ID: 
Responder: 

Source IP/Port : 115.239.230.214/7444 

Dest IP/Port : 137.114.132.16/25480 

VPN-Instance/VLAN ID/VLL ID: 


Pro: TCP(6) App: unknown State: SYN 
Start time: 2013-04-18 03:36:04 TTL: 1s 
Root Zone(in) : 

Zone(out) : 


Received packet(s) (Init) : 1 packet(s) 40 byte(s) 
Received packet(s) (Reply) : 0 packet(s) 0 byte(s) 


(5) 收集 内 存 信息 
如 果 防 火 墙 的 会 话 信 息 正常 ,但 是 内 存 利 用 率 还 是 比较 高 ,可 以 收集 地 址 池 详 细 分 配 信 
息 ,反馈 给 二 线 进一步 分 析 。 另 外 最 好 把 诊断 信息 和 设备 配置 文件 也 一 起 收集 。 


MA: _display memory 


_display memory-pool 
_display memory raw all partition 0 
_display memory raw all core 0 
例如 : 通过 _display memory-pool 命令 可 以 查看 具体 哪些 模块 占用 内 存 过 多 ,此 处 按照 
以 上 命令 顺序 执行 记录 设备 输出 信息 即 可 。 


[h3c]_h 

[H3C-hidecmd]_display memory-pool 

name index csize freenum totalnum bnum align cacheflag tableAddr tablesize 
SETB 22 380 2699 2716 1 32 0x7 0x1b19348 8 
SENG 23 20 30821 30838 1 32 0x7 Oxlc03c28 8 
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一 一 表示 上 一 步 结 果 正 虽 


mmn) 去 元 上 一 步 结果 由 现 训 是 
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产品 6.2.6 防火 墙 双 机 热 备 故 障 排查 ”可 详解 


1. 开始 

防火 墙 的 双 机 热 备 功能 可 以 实现 会 话 和 配置 的 同步 ,从 而 简化 配置 并 且 提 高 网 络 的 可 靠 
性 。 防 火 墙 双 机 热 备 问 题 定 位 故障 的 思路 是 : 首先 检查 防火 墙 双 机 热 备 状态 是 否 是 同步 运 
行 ,如 果 不 是 同步 状态 ,请 检查 两 台 防 火 墙 的 版 本 是 否 一 样 , 双 机 热 备 配置 是 否 正确 以 及 双 机 
热 备 链 路 是 否 正常 ; 状态 同步 后 再 检查 配置 同步 状态 ,如 果 存 在 配置 冲突 ,最 好 将 备 机 的 Web 
配置 清除 ,然后 再 从 主机 同步 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 双 机 热 备 状态 


进入 主 备 两 台 防 火 墙 Web 页 面 , 单 击 “ 高 可 靠 性 ”>“ 双 机 热 备 界面 ", 如 图 6-54 所 示 , 查 
看 双 机 热 备 状 态 , 如 果 显 示 “ 同 步 运 行 " 则 状态 正常 。 
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Ci 
6-54 双 机 热 备 配置 (1) 
关于 热 备 状态 的 说 明 。 


O 静默 : 表示 设备 刚 启动 正在 等 待 系统 稳定 ,或 者 热 备 状态 正在 从 同步 运行 向 独立 运行 
转换 的 中 间 状 态 。 

© 独立 运行 : 表示 静默 定时 器 超时 ,但 是 设备 没有 与 任何 其 他 设备 建立 备份 连接 。 

O 同步 运行 : 表示 设备 与 对 端 设备 状态 协商 成 功 , 状 态 达到 同步 。 

(2) 检查 版 本 和 配置 

双 机 热 备 设备 版 本 需要 一 致 ,如 果 两 台 防 火 墙 双击 热 备 状态 无 法 同步 ,首先 检查 设备 版 
本 ,然后 再 检查 双击 热 备 相关 配置 。 

命令 : display version 

例如 : 通过 命令 查看 ,可 以 确认 两 端 版 本 是 否 一 致 。 

[H3C] display version 

H3C Comware Platform Software 

Comware Software, Version 5.20, Feature 3171P08 


Copyright (c) 2004-2012 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 
H3C SecPath F1000-E uptime is 1 week, 1 day, 11 hours, 25 minutes 


然后 再 进入 防火 墙 Web 页 面 , 单 击 “ 高 可 靠 性 ”>“ 双 机 热 备 界 面 ”, 如 图 6-55 所 示 , 确 认 
两 台 设 备 双击 热 备 配置 一 致 。 
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6-55” 双 机 热 备 配 置 (2) 


O 使 能 会 话 双 机 热 备 功能 : 可 以 实现 NAT、ALG、ASPF 业务 会 话 的 备份 , 必 配 。 

@ 使 能 ipsec 双 机 热 备 功能 :可 以 实现 ipsec 会 话 的 备份 , 按 需 配置 。 

© 使 能 支持 非 对 称 路 径 ; 开启 该 功能 后 ,可 以 保证 一 条 会 话 中 的 数据 流 进入 内 网 和 从 内 
网 出 去 所 经 过 的 设备 不 同时 ,业务 不 受 影响 ,推荐 配置 。 

@ 备份 接口 : 确保 配置 相同 的 接口 ,如 果 有 2 个 接口 ,配置 顺序 需要 相同 ,推荐 直 连 , 必 配 。 

© 备份 VLAN: 当 两 台 防 火 墙 备 份 口 不 是 直 连 而 是 通过 交换 机 等 设备 相连 时 ,需要 通过 
VLAN 传送 心跳 报 文 。 确 保 设备 VLAN 配置 相同 ,再 查看 中 间 交 换 机 上 是 否 传送 备份 
VLAN。 

(3) 查看 物理 链 路 

查看 双 机 热 备 的 心跳 链 路 是 否 正常 。 

命令 : display inter face inter face-type interface-number 


例如 : 查看 端口 是 否 Up, 物 理 链 路 是 否 正 常 。 


[H3C] display interface GigabitEthernet 0/4 
GigabitEthernet0/4 current state: Up 
Line protocol current state: Up 
Description: GigabitEthernet0/4 Interface 
The Maximum Transmit Unit is 1500 
Internet protocol processing : disabled 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e27c-7798 
IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e27c-7798 
Media type is twisted pair, loopback not set, promiscuous mode not set 
1000Mb/s, Full-duplex, link type is autonegotiation 
Output flow-control is disabled, input flow-control is disabled 
Output queue : (Urgent queuing : Size/Length/Discards) 0/100/0 
Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0 
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0 
Last clearing of counters: Never 
Peak value of input: 718 bytes/sec, at 2013-12-24 10:54:48 
Peak value of output: 3034 bytes/sec, at 2013-12-24 10:54:48 
Last 300 seconds input rate 544 bytes/sec, 4352 bits/sec, 7 packets/sec 
Last 300 seconds output rate 544 bytes/sec, 4352 bits/sec, 7 packets/sec 
Input: 445307 packets, 0 jumboes, 34609502 bytes, - buffers 
445307 broadcasts, 0 multicasts, 0 pauses 
0 errors, 0 runts, 0 giants 
0 crc, 0 align errors, 0 overruns 
0 dribbles, 0 drops, 0 no buffers 
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Output:445477 packets，34634050 bytes，- buffers 
445477 broadcasts，0 mnulticasts，0 pauses 
0 errors, 0 underruns, 0 collisions 
0 deferred, 0 drops, 0 lost carriers 


(4) 查看 配置 同步 状态 


进入 防火 墙 Web 页 面 , 单 击 “ 高 可 靠 性 ”>“ 双 机 热 备 界 面 ", 如 图 6-56 所 示 , 查 看 当前 设 
备 的 配置 同步 状态 是 否 正 常 。 


回合 能 机 热 各 功能 


Bersm 
lgitipsecurungra 
Elena sn 
Elttstegmso=as 回忆 网 更 加 
asmo: GabtEnemetou[_EERS 人 |] 


anwan: [4094 ] (1- 4094 ,如 省 证 = 4094) 


amene: msz 
E 主 设备 ; OHASENER | 


6-56 ” 双 机 热 备 配置 (3) 


例如 : 通过 Web 查看 双 机 热 备 状态 ,显示 同步 运行 。 

Q) 配置 冲突 : 两 台 设 备 均 为 主 设备 或 者 备 设 备 ,或 者 主 备 设备 配置 存在 冲突 。 

@ 等 待 同步 运行 状态 : 等 待 双 机 热 备 进入 同步 运行 状态 。 

O 准备 同步 : 准备 将 主 设备 当前 配置 同步 到 备 设备 。 

© 同步 所 有 配置 中 : 启用 了 自动 同步 更 新 配置 功能 , 主 设备 正在 将 当前 配置 同步 到 备 设备 。 

© 自动 同步 更 新 配置 : 启用 了 自动 同步 更 新 配置 功能 ,两 台 设备 已 经 完成 了 同步 所 有 配 
置 的 过 程 。 

@ 不 进行 自动 同步 : 没有 启用 自动 同步 更 新 配置 功能 。 此 时 ,用 户 在 主 设备 上 的 配置 操 
作 不 会 自动 同步 到 备 设备 上 。 

(5) 检查 配置 

进入 防火 墙 Web 页 面 , 单 击 “ 高 可 靠 性 ”>“ 双 机 热 备 界面 ", 如 图 6-57 所 示 。 检 查 主 备 防 
火 墙 配置 同步 功能 配置 是 否 正确 。 

主 设备 配置 如 图 6-57 所 示 。 
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图 6-57 主 设备 配置 
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备 设备 配置 如 图 6-58 所 示 。 
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6-58 备 设备 配置 


启用 自动 同步 更 新 配置 后 ,当前 主 设备 上 支持 配置 同步 功能 的 配置 将 同步 到 备 设备 上 , 且 
后 续 用 户 在 主 设备 上 的 配置 操作 也 会 自动 同步 到 备 设备 上 。 

该 配置 只 需要 在 配置 同步 的 主 设备 上 配置 。 

防火 墙 配置 同步 的 内 容 主 要 包括 以 下 内 容 。 

Q 设备 管理 : 安全 域 . 虚 拟 设备 、 服 务 管理 。 

© 资源 管理 : 地址、 服务 .时 间 段 。 

@ 防火 墙 : 安全 策略 NAT 映射 ,ALG、ACL .会话 管 理 。 

@ 攻击 防范 : 黑 名 单 . 报 文 异常 检测 ,流量 异常 管理 .URPF 检查 、TCPProxy。 

© 应 用 控制 : 内 容 过 滤 。 

@ VPN; IKE IPSec。 

D 高 可 靠 性 : 使 能 双 机 设备 ,使 能 IPSec 双 机 热 备 .作为 配置 同步 的 主 设备 。 

日 志 管 理 : Syslog Userlog 会 话 日 志 、 命 令 行 配置 同步 。 

当 两 台 设 备 配置 已 经 发 生 不 同步 或 者 配置 冲突 时 ,需要 清空 备 设备 Web 界面 的 配置 , 然 
后 开启 双 机 热 备 ,使 主 设备 上 的 配置 自动 同步 到 备 设 备 上 。 
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产品 6.2.7 防火 墙 域 间 策略 故障 排查 步骤 详解 


1. 开始 

防火 墙 域 间 策 略 问题 定位 故障 的 思路 是 : 首先 在 防火 墙 上 查看 业务 流 所 对 应 的 会 话 表 项 
是 否 存在 。 若 会 话 表 项 存在 , 则 需要 仔细 检查 会 话 表 项 所 包括 的 源 /目的 安全 区 域 、 发 起 /响应 
方 五 元 组 ,协议 状态 等 信息 是 否 符合 预期 ,否则 应 按 域 间 策 略 的 正常 配置 顺序 检查 防火 墙 是 否 
存在 配置 错误 。 若 防火 墙 上 虽然 可 以 查询 到 会 话 表 项 ,但 没有 响应 方 报 文 统计 ,这 种 情况 很 可 
能 是 由 于 路 由 交换 网 络 未 能 将 会 话 反 向 报 文正 确 转 发 至 本 防火 墙 造成 的 ,此 时 需要 从 整 网 角 
度 ,尤其 是 报 文 转发 路 径 方面 着 手 排查 。 若 防火 墙 上 业务 流 对 应 的 会 话 表 项 不 存在 ,一 种 可 能 
是 由 于 业务 报 文 被 域 间 策 略 阻 断 而 未 能 创建 会 话 ,这 种 情况 需要 重点 检查 阻 断 动作 的 域 间 策 
略 是 否 配置 正确 ; 另 一 种 可 能 是 防火 墙 确实 没有 接收 到 会 话 发 起 方 相应 的 业务 报 文 ,这 种 情 
况 通常 需要 排查 网 络 中 防火 墙 上 游 其 他 设备 是 否 存在 转发 故障 。 域 间 策 略 是 H3C Comware 
V5 平 台 防 火 墙 非常 稳定 的 基础 安全 特性 ,无 论 现场 遇 到 的 问题 是 “应 该 通 的 没 通 ”还 是 “不 应 
该 通 的 通 了 ”, 相 信和 通过 确认 组 网 连接 、 检 查 设备 配置 、 观 察 业务 报 文 收发 情况 、 观 察 防火 墙 会 
话 表 项 信息 等 一 系列 排查 手段 ,最 终 都 能 得 到 定位 和 解决 。 

2. 流程 图 相关 操作 说 明 

D 是 否 存在 会 话 表 项 

H3C Comware V5 平台 防火 墙 属于 状态 检测 防火 墙 , 会 话 表 项 是 防火 墙 对 网 络 中 各 条 业 
务 流 执行 状态 检测 的 重要 依据 。 防 火 墙 从 某 业 务 端 口 接收 报 文 后 ,与 当前 会 话 表 进行 匹配 。 
如 果 报 文 命中 某 条 会 话 表 项 ,意味 着 可 以 继续 转发 。 如 果 无 法 命中 任何 会 话 表 项 ,该 报 文 将 转 
交 给 域 间 策略 模块 进行 策略 匹配 ,匹配 结果 为 允许 ,防火 墙 将 创建 一 条 新 的 会 话 表 项 并 转发 该 
报 文 ; 匹配 结果 为 拒绝 则 丢弃 该 报 文 且 不 创建 会 话 。 

为 了 更 精确 地 查找 会 话 表 项 ,防火 墙 支持 基于 会 话 发 起 方 的 源 / 目 的 IP 地 址 、 源 /目的 端 
口号 .协议 .虚拟 设备 名 称 等 参数 执行 筛选 查找 。 要 注意 执行 命令 的 时 机 必须 在 会 话 老化 以 
前 ,以 UDP ICMP 协议 会 话 为 例 ,如 果 防 火 墙 没 有 接收 到 后 续 命令 会 话 的 业务 报 文 , 则 该 会 
话 会 在 60 秒 后 删除 。 若 查询 命令 执行 后 显示 会 话 表 项 数 为 0, 说 明 当 前 不 存在 符合 查询 条 件 
的 会 话 表 项 。 

命令 : display session table source-ip x.x. z. x destination-ip z. z. z. z verbose 

例如 : 网 络 管理 员 执行 5 次 ping 操作 ,会 话 发 起 方 源 /目的 地 址 分 别 为 10. 0. 20. 2/10. 0. 30. 2, 
ping 报 文 经 过 防火 墙 时 命中 允许 动作 域 间 策 略 ,因此 在 会 话 表 中 可 以 查询 到 如 下 表 项 ,会 话 
发 起 方 为 10. 0. 20. 2, 会 话 响应 方 为 10. 0. 30. 2 ,发 起 方位 于 Untrust 区 域 ,响应 方位 于 Trust 
区 域 , 发 起 方 发 送 了 5 个 报 文 ,响应 方 回复 了 5 个 报 文 。 若 防火 墙 没 有 收 到 后 续 报 文 , 会 话 将 
在 9 秒 后 删除 。 


[H3C] display session table source-ip 10.0.20.2 destination-ip 10.0.30.2 verbose 
Initiator: 

Source IP/Port : 10.0.20.2/2048 

Dest IP/Port : 10.0.30.2/14422 
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VPN-Instance/ VLAN ID/VLL ID: 
Responder: 

Source IP/Port : 10.0.30.2/0 

Dest IP/Port : 10.0.20.2/14422 

VPN-Instance/VLAN ID/VLL ID: 


Pro: ICMP(1) App: unknown State: ICMP-CLOSED 
Start time: 2013-12-17 17:45:08 TTL: 9s 
Root Zone(in): Untrust 


Zone(out): Trust 
Received packet(s) (Init): 5 packet(s) 420 byte(s) 
Received packet(s) (Reply): 5 packet(s) 420 byte(s) 


Total find: 1 


(2) 是 否 接收 到 数据 报 文 

若 防火 墙 上 业务 流 对 应 的 会 话 表 项 不 存在 ,一 种 可 能 是 由 于 业务 报 文 被 域 间 策 略 阻 断 而 
未 能 创建 会 话 , 这 种 情况 需要 重点 检查 阻 断 动作 的 域 间 策略 是 否 配置 正确 ; 另 一 种 可 能 是 防 
火 墙 确实 没有 接收 到 会 话 发 起 方 相应 的 业务 报 文 , 这 种 情况 通常 需要 排查 网 络 中 防火 墙 上 游 
其 他 设备 是 否 存在 转发 故障 。 为 了 区 别 这 两 种 不 同 的 可 能 性 ,需要 通过 debugging 命令 的 输 
出 信息 来 协助 判断 。 在 使 能 debugging 开关 时 必须 引用 精确 匹配 业务 报 文 的 ACL 过 滤 输 出 ， 
避免 大 量 的 无 效 信息 干扰 分 析 。 

命令 : debugging ip packet acl ZX 


debugging firewall packet-filter xxxx acl xxxx 
例如 : 如 下 所 示 , 先 配置 ACL 规则 用 于 精确 匹配 ping 测试 的 流量 ,发 起 方 源 /目的 IP 地 
址 分 别 为 10. 0. 20. 2/10. 0. 30.2 ,然后 打开 debugging 开关 ,接着 再 重新 操作 ping 操作 ,最 后 
观察 debugging 命令 的 输出 信息 : 防火 墙 接收 并 尝试 路 由 转发 了 这 个 ICMP 包 , 但 随后 在 进 
行 域 间 策略 查找 匹配 时 ,被 源 域 为 Untrust 目的 域 为 Trust 的 阻 断 规则 丢弃 ,ACL none 表示 
该 报 文 命中 了 默认 域 间 规 则 , 即 默 认 的 低 优先 级 安全 区 域 不 能 主动 访问 高 优先 级 安全 
区 域 。 


[H3C] acl number 3001 
[H3C-acl-adv-3001] rule 5 permit icmp source 10.0.20.2 0 destination 10.0.30.2 0 


< H3C> debugging ip packet acl 3001 
<H3C> debugging firewall packet-filter icmp acl 3001 


<H3C> terminal debugging 

Info: Current terminal monitor is on. 
<H3C> terminal monitor 

Info: Current terminal debugging is on. 


<H3C> 

* Dec 18 09:16:27 :080 2013 SecBladell 3 DPIPFWD/7/debug_case: 

Receiving, interface = Ten-GigabitEthernet0/0.20, version = 4, headlen = 20, tos = 0, 
pktlen = 84, pktid = 39142, offset = 0, ttl = 255, protocol = 1, 

checksum = 56510, s = 10.0.20.2, d = 10.0.30.2 
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prompt: Receiving IP packet 


* Dec 18 09:16:27:081 2013 SecBladell 3 DPIPFWD/7/debug_case: 

Sending, interface = Ten-GigabitEthernet0/0.30, version = 4, headlen = 20, tos = 0, 
pktlen = 84, pktid = 39142, offset = 0, ttl = 254, protocol = 1, 

checksum = 56766, s = 10.0.20.2, d = 10.0.30.2 

prompt: Sending the packet from Ten-GigabitEthernet0/0.20 


* Dec 18 09:16:27:081 2013 SecBladell_3 FILTER/7/debug: 
Thread 23, the icmp packet is denied from Untrust to Trust: (10.0.20.2)->(10.0.30.2), 84 bytes, 
ACL none. 


(3) 检查 其 他 设备 问题 

若 防火 墙 没有 接收 到 业务 报 文 , 则 问题 很 可 能 发 生 在 发 起 方 至 防火 墙 之 间 的 某 个 位 置 ,可 
能 是 由 于 组 网 .路 由 规划 、 其 他 设备 故障 等 因素 导致 报 文 没 有 到 达 或 者 绕 过 防火 墙 。 建 议 从 发 
起 方 开始 逐 跳 排查 ,逐步 确认 报 文 的 具体 转发 路 径 . 是 否 存在 丢 包 等 。 如 确认 是 非 H3C 品牌 
设备 引起 的 故障 ,应 尽快 与 设备 的 服务 提供 商 取 得 联系 。 

(4) 检查 会 话 表 项 信息 

在 防火 墙 上 查询 到 会 话 表 项 后 ,应 根据 实际 组 网 情况 核对 表 项 信息 是 否 符合 预期 。 重 点 
检查 会 话 表 项 的 源 /目的 安全 区 域 是 否 正确 ,发 起 /响应 方 报 文 五 元 组 .VLAN 等 是 否 正确 ,会 
话 正 反方 向 上 接收 的 报 文 数 统计 是 否 正确 等 。 如 果 源 /目的 安全 区 域 不 符合 预期 ,通常 是 端口 
安全 区 域 属 性 配置 错误 或 路 由 表 配 置 错误 造成 。 如 果 发 起 方 /响应 方 的 五 元 组 信息 不 符合 预 
期 , 则 多 见于 NAT 策略 配置 错误 。 如 果 防 火 墙 在 会 话 反方 向 没有 接收 到 响应 方 回复 的 报 文 ， 
则 多 数 是 业务 流 来 回转 发 路 径 不 一 致 , 即 反 方向 报 文 未 经 本 防火 墙 转 发 造成 。 

MS: display session table source-ip x.x. x.x destination-ip z. z. z. z verbose 

例如 : 网 络 管理 员 执 行 5 次 ping 操作 ,发 起 方 源 /目的 IP 地 址 分 别 为 10.0.20.2/ 
10. 0. 30. 2。 从 会 话 表 项 中 可 以 查看 到 发 起 方 处 于 Untrust 区 域 、 响 应 方 处 于 Trust 区 域 , 防 
火 墙 在 会 话 正 /反方 向 各 处 理 了 5 个 数据 包 , 该 会 话 属 于 ICMP 协议 类 型 ,当前 处 于 ICMP- 
CLOSED 状态 ,如 果 没 有 匹配 该 会 话 的 后 续 数 据 包 到 达 本 防火 墙 ,那么 这 条 表 项 将 在 15 秒 
后 老化 删除 。 


[H3C] display session table source-ip 10.0.20.2 destination-ip 10.0.30.2 verbose 
Initiator: 

Source IP/Port : 10.0.20. 2/2048 

Dest IP/Port : 10.0.30.2/14608 

VPN-Instance/ VLAN ID/VLL ID: 
Responder: 

Source IP/Port : 10.0.30. 2/0 

Dest IP/Port : 10.0. 20.2/14608 

VPN-Instance/ VLAN ID/VLL ID: 


Pro: ICMP(1) App: unknown State: ICMP-CLOSED 
Start time: 2013-12-18 11:23:07 TTL: 15s 
Root Zone(in): Untrust 


Zone(out) : Trust 
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Received packet(s) (Init): 5 packet(s) 420 byte(s) 
Received packet(s) (Reply): 5 packet(s) 420 byte(s) 


Total find: 1 


例如 : 在 Web 管理 界面 的 “防火 墙 一 会 话 管理 一 会 话 列表 ”页 签 中 查看 会 话 表 项 的 具体 
信息 ,如 图 6-59 所 示 。 


会 话 详细 信息 
Protocol: ICMP State ICMP-CLOSED TTL (S) 15 
Initiator: VD / ZONE / VPN / IP / PORT Responder: VD / ZONE / VPN / IP / PORT Packets Bytes 
Root / Untrust / — / 10.0.20.2 / 2048 > Root / Trust / — / 10.0.30.2 / 14608 5 420 
Root / Untrust / — / 10.0.20.2 / 14608 <— Root/ Trust/—/10.0.302/0 5 420 


图 6-59 会 话 详细 信息 


(5) 检查 安全 区 域 配 置 
域 间 策略 是 防火 墙 在 不 同 的 源 / 目 的 安全 区 域 之 间 部 署 的 安全 策略 ,因此 必须 确保 各 个 端 
添加 了 准确 的 安全 区 域 属 性 。 防 火 墙 默认 第 一 个 物理 端口 已 添加 为 管理 区 域 ,其 他 端口 ( 包 
括 二 三 层 物理 端口 .二 三 聚合 端口 .隧道 口 .VLAN 虚 接 口 . 虚 接口 模板 等 ) 默 认 均 无 安全 区 域 
属性 ,必须 手工 配置 后 才能 真正 转发 业务 报 文 。 将 端口 加 入 某 个 安全 区 域 ,不 是 指 防火 墙 端口 
本 身 属 于 这 个 区 域 , 而 是 意味 着 这 个 端口 所 连接 的 网 络 处 于 该 安全 区 域内 。 虽 然 没 有 明确 地 
体现 ,但 切记 防火 墙 自身 全 部 端口 都 属于 Local 区 域 。 端 口 的 安全 区 域 属 性 支持 通过 CLI 或 
Web 页 面 进 行 配置 与 查看 。 
MS: display current-con figuration con figuration vsys 
例如 : 在 CLI 管理 界面 中 ,通过 命令 检查 设备 当前 安全 区 域 配置 情况 。 其 中 
GigabitEthernet0/1 默认 配置 已 加 入 管理 区 域 , Ten-GigabitEthernet0/0.20 和 Ten- 
GigabitEthernet0/0. 30 分 别 加 入 了 Untrust 区 域 和 Trust 区 域 。 


[H3C] display current-configuration configuration vsys 


zone name Management id 0 
priority 100 
import interface GigabitEthernet0/1 
zone name Local id 1 
priority 100 
zone name Trust id 2 
priority 85 
import interface Ten-GigabitEthernet0/0.30 
zone name DMZ id 3 
priority 50 
share enable 
zone name Untrust id 4 
priority 5 
import interface Ten-GigabitEthernet0/0.20 
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例如 : 在 Web 管理 界面 的 “设备 管理 一 接口 管理 ”页 签 中 ,查看 端口 安全 区 域 配置 情况 ， 
如 图 6-60 所 示 。 在 本 例 中 防火 墙 通过 两 个 三 层 子 接口 进行 转发 , 主 接口 无 须 配置 安全 区 域 。 


t IP 地 址 网 络 接 码 安全 域 状态 操作 
(GigabitEIhernet0/1 10.255.255.33 255.255.255.0 Management ° e 
[iaabtEmemetoz ° e 
GiqabitEIhernet0/3 ° e 
GiqabitEInemel0/4 ° e 
NULLO ° ea 
Ten-GigabitEthemet0/0 - ° e 
Ten-Gi n 10.0.20.254 255.255.255.0 Untrust ° e 
Ten-GiqabitEthernet0/0.30 10.0.30.254 255.255.255.0 Trust ° ep 

共 8 条 ， 每 页 100 V| | 当前 : YR, t-88 | 首页 上 -页 下 一 页 eal Gi 
新 建 
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(6) 是 否 使 用 域 间 策略 组 

H3C Comware V5 平台 防火 墙 支持 域 间 策略 组 、 域 间 策略 两 种 配置 方式 。 域 间 策 略 组 通 
过 将 ACL 直接 应 用 在 安全 区 域 间 实 现 。 这 种 配置 方法 在 V5 平台 防火 墙 替换 原 有 网 络 中 的 
包 过 滤 防 火 墙 时 比较 常用 ,可 以 实现 快速 移植 原 有 ACL 包 过 滤 策略 的 目的 。 域 间 策略 则 通 
过 将 网 络 地 址 、 端 口 信息 抽象 为 地 址 资源 、 服 务 资源 ,结合 时 间 段 资源 ,实现 基于 面向 对 象 思想 
的 部 署 方式 ,更 加 灵活 有 效 。 注 意 , 两 种 配置 方式 只 能 任 选 其 一 , 即 如果 采 用 域 间 策略 组 方式 
进行 安全 策略 配置 ,那么 就 无 法 再 使 用 域 间 策 略 方式 。 

(7) 检查 域 间 策 略 组 配置 

若 采用 域 间 策略 组 方式 进行 配置 ,应 重点 检查 引用 的 ACL 规则 .引用 的 顺序 是 否 准确 。 
在 Web 管理 页 面 中 , 当 一 条 域 间 策略 组 中 同时 引用 了 多 个 ACL 规则 时 ,系统 将 按 显示 顺序 
(从 左 至 右 、 从 上 至 下 ) 依 次 进行 匹配 ,在 CLI 界 面 中 同 理 , 按 显示 顺序 (从 上 至 下 ) 依 次 进行 匹 
配 ; 该 显示 顺序 亦 为 管理 员 的 策略 配置 顺序 。 此 外 ,还 应 注意 检查 域 间 策略 组 是 否 已 经 启用 。 
在 Web 页 面 中 , 当 启 用 选项 显示 为 绿 包 箭 头 向 上 时 ,表示 当前 处 于 已 启用 状态 ; 反之 为 不 生 

命令 : interzone source xxxx destination 工 工 工 工 

rule acl xxxx 
rule acl enable 

例如 : 在 CLI 管 理 界面 中 ,进入 域 间 视 图 ,检查 域 间 策略 组 配置 情况 。 在 本 例 中 , 当 业 务 
流量 从 Untrust 区 域 发 起 ,目标 为 Trust 区 域 时 ,将 按照 先 ACL 3001 后 ACL 3002 的 顺序 进 
行 策略 匹配 。 
[H3C] interzone source Untrust destination Trust 


[H3C-interzone-Untrust-Trust]display this 
# 
interzone source Untrust destination Trust 
rule acl 3001 
rule acl 3002 
rule acl enable 


# 
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在 Web 管理 界面 的 “防火 墙 一 安全 策略 一 域 间 策 略 组 页 签 中 ,检查 策略 配置 ,如 图 6-61 
所 示 。 当 源 / 目 的 安全 区 域 之 间 存 在 多 条 ACL 策略 时 , 按 先 ACL 3001 后 ACL 3002 


的 顺序 
进行 匹配 。 
a F J p= 
源 域 目的 域 ID 引用 的 ACLJ 志 启用 选项 TEAS 操作 
Untrust Trust 0 3001, 3002 Ott 0 ep 
se | meih | 清空 统计 


图 6-61 策略 配置 

(8) 检查 ACL 配置 

检查 域 间 策 略 组 所 引用 的 ACL 配置 是 否 正确 , 需 注 意 域 间 策略 组 仅 关 心 ACL 规则 中 与 
报 文 五 元 组 相关 的 信息 , 即 IP 报 文 的 “ 源 /目的 IP 地 址 ”“ 源 /目的 端口 号 “协议 类 型 ”。 

部 分 型 号 防火 墙 还 支持 ACL 加 速 功能 ,车 发 现 对 应 的 ACL 加 速 状态 为 “失效 ”, 应 先 停 


止 加 速 后 再 重新 使 能 加 速 ( 该 ACL 包含 规则 数量 大 于 1K) ,或 停止 加 速 ( 该 ACL 包含 规则 数 
量 小 于 1K). 


命令 : display acl zzzz 
例如 : 在 CLI 管 理 界面 中 ,通过 命令 查看 ACL 规则 配置 是 否 正确 。 


<H3C> display acl 3001 


Advanced ACL 3001, named -none-, 1 rule, 
ACL's step is 5 


rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 172.16.0.0 0.15.255.255 


在 Web 管理 界面 的 “防火 墙 一 ACL? 页 签 中 ,检查 ACL 规则 的 配置 情况 ,如 图 6-62 所 示 


ip source 10.0.0.0 0.255.255.255 destination 172.16.0.0 0.15.255.255 


se | 和 返回 


图 6-62 ACL 规则 配置 

MS: display acl accelerate all 

例如 : 通过 命令 查看 ACL 加 速 状 态 是 否 正常 , 若 状 态 列 显 示 为 “OOD”, 说 明 当前 加 速 状 
态 已 失效 ,必须 停止 加 速 后 再 次 重新 使 能 。 如 果 ACL 内 包含 的 规则 数 较 少 ,或 管理 员 需 要 经 
常 性 对 规则 进行 增删 、 修 改 等 操作 ,建议 不 要 使 能 ACL 加 速 。 


<H3C> display acl accelerate all 
S(Status): UTD -- up to date, OOD -- out of date 
A( Accelerate): ACC -- accelerated, UNACC -- unaccelerated 


Accelerate Status 


在 Web 管理 界面 的 "防火墙 一 ACL? 页 签 中 ,检查 ACL 的 加 速 状 态 , 如 图 6-63 所 示 。 在 
本 例 中 ,ACL3001 的 加 速 状态 为 “失效 ”, 管 理 员 必须 立即 手工 操作 重新 加 速 ,或 停止 加 速 。 
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ACL 加 束 状 态 图 标 毛 述 : OME OFE SAA) 


访问 控制 列表 ID v| Sm || a220 
访问 控制 列表 ID 类 型 Ranae E Hië ACL 加 速 管理 操作 
o 2001 高 级 2 用 户 配置 enmt en 


se | meir | mes 
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(9) 检查 域 间 策略 配置 
检查 域 间 策略 配置 是 否 正确 ,重点 检查 域 间 策 略 的 匹配 顺序 是 否 符合 客户 预期 。 在 Web 
管理 页 面 或 CLI 界面 中 ,相同 源 /目的 安全 区 域 间 多 条 域 间 策略 始终 按 从 上 至 下 的 显示 顺序 
依次 进行 匹配 (与 策略 ID 号 无 关 ) 。 
除了 管理 员 配 置 的 自 定义 域 间 策略 外 ,H3C Comware V5 平台 防火 墙 还 需 考 虑 默认 域 间 
策略 : 其 他 安全 区 域 都 可 以 与 Local 区 域 互 相 访 问 ; Management 区 域 仅 能 与 Management 区 
域 或 Local 区 域 互相 访问 ; 除 Management 区 域 和 Local 区 域外 ,高 优先 级 安全 区 域 可 以 主动 
访问 低 优先 级 安全 区 域 ,反之 低 优先 级 安全 区 域 不 可 以 主动 访问 高 优先 级 安全 区 域 ,相同 优先 
级 安全 区 域 之 间 可 以 互相 访问 ; 同一 个 安全 区 域内 可 以 互相 访问 。 默 认 域 间 策 略 不 显示 在 配 
置 界面 中 , 它 的 匹配 顺序 始终 在 用 户 配置 的 域 间 策 略 之 后 。 
防火 墙 域 间 策 略 支持 引用 “内 容 过 滤 策 略 模板 ”以 实现 对 HTTP、SMTP、POP3 FTP, 
Telnet 等 5 种 协议 的 数据 报 文 按 特征 执行 过 滤 功 能 。 当 防火 墙 域 间 策 略 引 用 该 配置 模板 时 ， 
需 检查 这 部 分 配置 是 否 正 确 并 符合 客户 预期 。 
若 防火 墙 域 间 策 略 启 用 了 MAC 地 址 匹配 功能 , 需 检查 源 /目的 MAC 地 址 配置 是 否 正 
确 ,是 否 能 够 匹配 实际 业务 报 文 的 源 /目的 MAC 地 址 。 
部 分 型 号 防火 墙 支持 域 间 策略 加 速 功 能 , 若 发 现 加 速 状态 失效 ,应 先 停止 加 速 后 再 重新 使 
能 加 速 ( 该 源 /目的 安全 区 域 间 策略 数 大 于 1K) ,或 停止 加 速 即 可 (该 源 / 目 的 安全 区 域 间 策 略 
数 小 于 1K). 
在 Web 页 面 中 , 当 某 条 域 间 策略 的 “启用 选项 * 列 显示 为 绿色 箭头 向 上 ,表示 该 条 域 间 策 
略 当前 为 已 启用 状态 ,反之 为 不 生效 状态 。 
MA: rule 工 permit 
rule x deny 
sourceip TIxx 
destinatiomip 工 工 工 工 
service x 
rule enable 
例如 : 在 CLI 管 理 界面 中 ,进入 安全 域 间 视图 ,检查 域 间 策略 配置 情况 。 本 例 中 ,Untrust 
区 域 至 Trust 区 域 共 有 两 条 策略 ,禁止 除 HTTP(CTCP80) 协 议 外 的 所 有 其 他 访问 通过 。 


[H3C] interzone source Untrust destination Trust 
[H3C-interzone-Untrust-Trust]display this 


interzone source Untrust destination Trust 
rule 5 permit 
Source-ip any_address 
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destination-ip any_address 
service http 
rule enable 

rule 6 deny 
source-ip any_address 
destination-ip any_address 
service any_service 
rule enable 


$ 


在 Web 管理 界面 的 “防火 墙 一 安全 策略 一 域 间 策 略 ” 页 签 中 ,检查 域 间 策略 的 配置 情况 ， 
如 图 6-64 所 示 。 


s ET] TEDE 


ss P o 源 P 地 址 目的 IP 地 址 。 服务 U wen PŠ 8 em ns yio PS B 操作 
i TE Ü en Uü Wa WA J 
C Untrust Trust 5 any address any address http Permit g e 0 s... 
` 
Untrust Trust 6 any address any address any service Deny q= g 0 eee 
me | meik | SA | SL | az% 


图 6-64 域 间 策略 配置 
命令 : display interzone bolicy accelerate 
例如 : 通过 命令 查看 域 间 策略 加 速 状态 是 否 正常 , 若 状 态 列 显示 为 "OOD”, 说 明 当 前 加 速 
状态 已 失效 ,应 停止 加 速 后 再 次 重新 使 能 加 速 功能 。 


< H3C> display interzone-policy accelerate 
S(Status): UTD -- up to date, OOD -- out of date 
A( Accelerate): ACC -- accelerated, UNACC -- unaccelerated 


Source-Zone Destination-Zone A S 


Untrust Trust ACC 00D 


在 Web 管理 界面 的 “防火 墙 一 安全 策略 一 策略 加 速 ” 页 签 中 ,检查 域 间 策 略 的 加 速 状 态 ， 
如 图 6-65 所 示 。 在 本 例 中 ,Untrust 区 域 至 Trust 区 域 的 策略 加 速 状态 为 “失效 ”, 必 须 手工 操 
作 重 新 加 速 ,或 停止 加 速 。 


ACL 加 速 杖 态 图 标 指 述 : OnE 。 令 未 加 速 OAA 
源 域 目的 域 Rumi ACL 加 速 管理 
Untrust Trust 2 ng 


图 6-65 域 间 策 略 加 速 状态 


(10) 检查 地 址 对 象 配置 

检查 地 址 对 象 配置 是 否 准确 。 对 于 主机 地 址 和 范围 地 址 应 重点 检查 有 效 IP 地 址 、 例 外 
IP 地 址 配置 是 否 正确 ,以 主机 名 方式 配置 的 地 址 对 象 还 需 保证 防火 墙 DNS 解析 功能 正常 , 确 
保 防 火 墙 能 够 成 功 为 主机 名 对 象 解析 其 对 应 的 IP 地 址 ;对 于 子 网 地 址 对 象 ,要 特别 注意 其 配 
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置 为 反 掩 码 方式 。 对 于 地 址 组 对 象 ,要 重点 检查 其 引用 的 地 址 对 象 层 次 化 关系 是 否 准 确 。 


命令 : object network subnet 工 工 工 工 
object network range xrxx 
object network host rzzz 
object-group network rxxx 


例如 : 在 CLI 管 理 界面 中 检查 地 址 对 象 .对 象 组 配置 。 


<H3C> display current-configuration | begin object 
object network subnet 10.0.0.0/0.0.255.255 
subnet 10.0.0.0 0.0.255.255 
object network subnet 172. 16.0.0/0.15.255.255 
subnet 172.16.0.0 0. 15.255.255 
object network range dns_server 
range 192.168.255.30 192.168.255.40 
range exclude 192. 168.255.33 
object network host server101 
host address 192. 168.0. 101 
object network host server102 
host address 192. 168.0. 102 
object-group network all_server 
object-group network all_server 
network-object dns_server 
network-object server101 
network-object server102 


在 Web 管理 界面 的 “资源 管理 ~ 地 址 ~>IP 地 址 ”页 签 中 ,可 以 查看 到 “主机 地 址 “范围 地 
址 光子 网 地 址 ?的 配置 情况 ,如 图 6-66 所 示 ,在 “资源 管理 一 地 址 一 地 址 组 ”页 签 中 ,可 以 查看 
到 “IP 地 址 组 ”的 配置 情况 ,如 图 6-67 所 示 。 


F 名 称 v| =m || sn 
= 名称 IP 地 址 /主机 名 mè 状态 操作 
server101 192.168.0.101 未 合用 合生 
server102 192.168.0.102 未 合用 (W 
ap E [AEE] 
FNE FE | 
R # y| æ j| 高 级 查询 
sl zA e MAE EO RSO BF 
C dns_server 192.168.255.30-192.168.255.40 192.168.255.33 未 使 用 An 
Dap E EAEE] 


C 10.0.0.0/0.0.255.255 10.0.0.0/0.0.255.255 
172.16.0.0/0.15.255.255  172.16.0.0/0.15.255.255 


se | mesh | SA | = 


图 6-66 “主机 地 址 “范围 地 址 ”“ 子 网 地 址 ”配置 
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JP 地 址 组 


dns server, server101, server102 


[ see | mas | SA | sd 


图 6-67 “IP 地 址 组 ”配置 

(11) 检查 服务 对 象 配 置 

检查 服务 对 象 配置 是 否 准确 .“ 预 定义 服务 ?是 防火 墙 软件 系统 默认 支持 的 常见 协议 .应 
用 所 对 应 的 服务 对 象 ,支持 通过 命令 查看 ,但 不 支持 修改 与 删除 。“ 自 定义 服务 ”是 管理 员 根 据 
实际 组 网 应 用 情况 创建 的 服务 对 象 , 需 重点 检查 协议 ,端口 号 配置 是 否 正确 。 在 Web 管理 页 


面 中 任意 端口 号 应 表达 为 "0 一 65535”。 对 于 服务 组 要 确认 其 引用 的 服务 对 象 层 次 化 关系 是 否 
准确 。 


命令 : object service z=<zzz 
object-group service TITT 


例如 : 在 CLI 管 理 界面 中 检查 服务 对 象 、 服 务 对 象 组 配置 。 


<H3C> display current-configuration | begin object 
object service http_8080 
Service tcp destination-port 8080 
object service http_8081 
Service tcp destination-port 8081 
object-group service all_http 
service-object http 
service-object http_8080 
service-object http_8081 


在 Web 管理 界面 的 “资源 管理 一 服务 一 自 定义 服务 "页 签 中 ,可 以 查看 到 * 自 定义 服务 ”的 


配置 情况 ,如 图 6-68 所 示 ,在 “资源 管理 一 服务 一 服务 组 ”页 签 中 ,可 以 查看 到 “服务 组 ”的 配置 
情况 ,如 图 6-69 所 示 。 


F £ v| Wm || 高 织 查 询 
名 称 协议 协议 参数 Hië 状态 操作 
口 ntp_8080 TCP 源 端 口 :any, 目的 满口 :3080 未 使 用 9 
口 htp_8081 TcP 源 满口 -any, 目的 庙 口 :8081 未 使 用 合生 
[se | mer | sa | m 
图 6-68 “ 自 定义 服务 "配置 
ENE ME 
名 称 成 员 Hië HE 操作 
al_http http, http 8080, http 8081 未 使 用 ea 


se | me | sa | = 


图 6-69 “服务 组 ”配置 
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(12) 检查 时 间 段 配置 

查看 防火 墙 当 前 系统 时 间 、 时 区 配置 是 否 正确 。 若 不 正确 应 立即 调整 ,建议 启用 N TP JE 
务 为 防火 墙 实时 同步 系统 时 钟 。 注 意 不 要 同时 启用 NTP 和 ACSEI 协议 为 防火 墙 择 卡 同步 系 
统 时 间 。 

若 系 统 时 间 正 常 , 需 检查 时 间 对 象 配 置 是 否 正 确 。 注 意 , 当 一 个 时 间 段 配置 中 包含 有 多 个 
周期 时 间 段 和 绝对 时 间 段 时 ,系统 将 先 分 别 取 各 周期 时 间 段 的 并 集 和 各 绝对 时 间 段 的 并 集 ,再 
取 这 两 个 并 集 的 交集 作为 该 时 间 段 最 终生 效 的 时 间 范 围 。 如 果 当 前 系统 时 间 正 处 于 该 时 间 对 
象 生效 的 时 间 范 围 内 ,在 用 户 界面 上 将 有 “Active” 提 示 信 息 。 
命令 : display clock 
例如 : 检查 当前 系统 时 间 是 否 正常 。 
<H3C> display clock 


16:14:57 Beijing Fri 07/08/2013 
Time Zone : Beijing add 08:00:00 


若 系统 时 间 不 正确 应 立即 调整 。 
命令 : clock datetime 


例如 : 通过 命令 调整 系统 时 间 。 


<H3C> clock datetime 10:12 2013/05/03 


命令 : timerange TXT 


例如 : 在 CLI 管 理 界面 中 检查 时 间 对 象 配置 。 


<H3C> display current-configuration | begin time-range 
time-range working_time 08:30 to 18:00 working-day 


命令 : display time-range Trrz 


例如 : 在 CLI 管 理 界面 中 检查 时 间 对 象 当前 是 否 生效 。 


<H3C> display time-range working_time 
Current time is 16:14:57 7/8/2013 Monday 


Time-range : working time ( Active ) 
08:30 to 18:00 working-day 


在 Web 管理 界面 的 “资源 管理 一 时 间 段 ”页 签 中 ,可 以 查看 到 “时 间 段 ?的 配置 情况 及 生效 
状态 ,如 图 6-70 所 示 。 


名 称 时 间 段 据 述 操作 


( Active ) 
working time | 08:30 to 18:00 working-day ú 


图 6-70 “时 间 段 ?配置 


(13) 是 否 启用 双 机 热 备 
防火 墙 设备 通常 部 署 在 网 络 中 的 重要 节点 位 置 ,如 果 仅 部 署 单 台 设备 , 当 出 现 硬 件 故障 时 
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将 会 对 业务 造成 重大 影响 。 因 此 在 网 络 规划 时 ,通常 以 两 台 防火 墙 硬件 设备 形成 双 机 部 署 ,从 
而 避免 出 现 单 点 故障 ,实现 高 可 靠 性 。 为 真正 实现 快速 热 备份 ,需要 在 两 台 防 火 墙 之 间 实 时 同 
步 会 话 表 项 等 信息 ,因此 当 两 台 防火 墙 形 成 双 机 关系 ,并 且 在 网 络 中 提供 完全 相同 的 功能 时 ， 
应 该 启用 防火 墙 双 机 热 备 功能 。 
MẸ: display dhbk status 
例如 : 在 CLI 管 理 界面 中 检查 是 否 启用 双 机 热 备 ,两 台 防火 墙 需 分 别 进行 检查 。 

<H3C> display dhbk status 

Stateful failover: Enabled 

Backup type: Symmetric path 

Current state: Synchronized 


Current port: 
GigabitEthernet0/4 
VLAN ID: 4094 


在 Web 管理 界面 的 “高 可 靠 性 一 双 机 热 备 "页 签 中 ,可 以 查看 是 否 启用 双 机 热 备 , 如 图 6-71 
所 示 。 


双 机 热 入 配置 
A 使 能 双 机 热 备 功 能 | 
回 使 能 会 话 双 机 热 备 功能 
口 使 能 IPSec 机 热 备 功能 
口 支 持 非 对 称 路 径 备份 
口 作为 配置 同步 的 主 设备 国 自 动 同步 更 新 村 轩 
备份 接口: GigabtEthemeto/4| RRND 
备份 YLAN: 4094 (1-4094, Ski = 4094) 
确定 


当前 执 备 状态 : 同步 运行 
当前 配置 的 同步 状态 : 备 设备 : 配置 冲突 


图 6-71 双 机 热 备 配置 


(14) 检查 双 机 热 备 配置 与 状态 

H3C Comware V5 平台 防火 墙 双 机 热 备 功能 分 为 会 话 同步 ,配置 同步 .IPSec SA 同步 等 
几 部 分 功能 ,其 中 会 话 同步 又 分 为 “不 支持 非 对 称 路 径 " 和 “支持 非 对 称 路 径 ” 两 种 。 

如 果 两 台 防 火 墙 形成 双 机 热 备 组 网 ,双向 业务 流量 仅 经 过 主 用 防火 墙 转发 , 另 一 台 备用 防 
火 墙 正 常情 况 下 无 业务 流量 ,那么 使 能 “不 支持 非 对 称 路 径 ” 类 型 的 双 机 热 备 会 话 同步 即 可 ; 
如 果 无 法 保证 双向 业务 流量 始终 经 过 同一 台 防 火 墙 转发 , 则 必须 使 能 “支持 非 对 称 路 径 ” 类 型 
的 双 机 热 备 会 话 同 步 。 建 议 在 两 台 防 火 墙 之 间 ,单独 使 用 1 一 2 条 直 联 物理 线路 作为 备份 线 。 
两 台 防 火 墙 部 署 双 机 热 备 会 话 同 步 功 能 后 ,必须 从 组 网 规划 上 避免 同一 条 业务 流 在 源 和 目的 
之 间 转 发 时 ,同时 经 过 两 台 防 火 墙 ; 换言之 ,两 台 防 火 墙 之 间 不 应 部 署 可 以 转发 业务 报 文 的 二 
三 层 业 务 连接 。 

命令 : session synchronization enable 


dhbk enable backup-type symmetric-path 
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dhbk enable backup-type dissymmetric-path 
dhbk inter face x vlan rrrr 
display dhbk status 
例如 : 在 CLI 管 理 界面 中 使 能 会 话 同步 ,启用 防火 墙 双 机 热 备 支持 非 对 称 路 径 功 能 ,选择 
GE0/4 十 VLAN4094 做 双 机 热 备 口 。 备 份 线 缆 连 接 后 ,查看 双 机 热 备 状态 以 确认 配置 生效 。 


[H3C] session synchronization enable 

[H3C] dhbk enable backup-type dissymmetric-path 
[H3C] dhbk interface GigabitEthernet0/4 vlan 4094 
<H3C> display dhbk status 

Stateful failover: Enabled 

Backup type: Asymmetric path 

Current state: Synchronized 

Current port: 

GigabitEthernet0/4 
VLAN ID: 4094 


在 Web 管理 界面 的 “高 可 靠 性 一 双 机 热 备 ” 页 签 中 ,也 可 进行 双 机 热 备 会 话 同 步 的 相关 
配置 ,如 图 6-72 所 示 。 注 意 ,未 使 能 配置 同步 功能 时 ,配置 同步 状态 将 固定 显示 为 “配置 


冲突 ”。 
we RRA 
加 使 能 双 机 热 备 功能 
使 能 会 话 双 机 热 备 功能 
口 使 能 IPSecx 机 热 备 功 能 
支持 非 对 称 路 径 备份 
口 作为 配置 同步 的 主 设备 国 自动 同步 更 新 了 团 
备份 接口 GigabitEthemetoa 修 约 备份 接口 
备份 YLAN: 4094 《1- 4094, FHI = 4094) 
确定 
当前 热 备 状态 : 同步 运行 
SARAMAS: KR MENR 7 
剧 新 


图 6-72 双 机 热 备 会 话 同步 配置 


如 果 两 台 防 火 墙 形成 双 机 热 备 组 网 ,需要 同步 防火 墙 域 间 策 略 配置 ,可 以 在 已 经 启用 “使 
能 双 机 热 备 功能 ”的 前 提 下 ,通过 启用 配置 同步 功能 实现 。 配 置 同步 功能 须 在 “配置 主 ” 设 备 ， 
即 管理 员 直 接 进行 Web 操作 的 这 人 台 防 火 墙 上 使 能 , 另 一 台 设 备 将 自动 成 为 “配置 备 ” 设 备 。 功 
能 启用 后 ,设备 管理 员 只 需 在 “配置 主 防 火 墙 的 Web 页 面 上 进行 对 象 、 域 间 策 略 及 其 他 支持 
同步 功能 的 配置 增删 修改 操作 , 另 一 台 防 火 墙 会 自动 同步 配置 主 防 火 墙 的 对 应 配置 。 对 于 
接口 IP 地 址 、VRRP、 路 由 协议 等 功能 ,配置 同步 不 会 将 “配置 主 ” 的 配置 同步 给 “配置 备 ” 设 
备 , 以 避免 出 现 配 置 错 误 。 因 此 ,在 初始 部 署 两 台 防 火 墙 时 ,如 果 客 户 需 要 进行 配置 同步 ,强烈 
建议 在 防火 墙 尚 处 于 出 厂 默认 配置 的 状态 下 ,优先 开启 双 机 热 备 配 置 同步 功能 ,然后 先 在 “ 配 
置 主 ? 设 备 上 完成 全 部 配置 ,再 到 “配置 备 ” 设 备 上 补 全 不 支持 同步 功能 的 配置 ,这 样 可 以 有 效 
避免 两 台 防 火 墙 出 现 配置 冲突 。 具 体 的 配置 操作 方法 可 查询 产品 用 户 手册 。 

命令 : dhbk configuration-backup master synchronization 


例如 : 在 CLI 管 理 界面 中 使 能 配置 同步 功能 。 
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[H3C] dhbk configuration-backup master synchronization 


在 Web 管理 界面 的 “高 可 靠 性 ~ 双 机 热 备 ”页 签 中 ,也 可 以 启用 双 机 热 备 配置 同步 功能 。 
注意 ,在 “配置 主 ” 设 备 上 启用 “使 能 双 机 热 备 功能 "和 “作为 配置 同步 的 主 设备 ”, 在 “配置 备 ” 设 


备 上 启用 “使 能 双 机 热 备 功能 ” 即 可 。 系 统 会 自动 选中 两 台 防 火 墙 的 “自动 同步 更 新 配置 " 复 选 
框 。 配置 完成 后 ,正常 情况 下 同步 状态 将 显示 为 “自动 同步 更 新 配置 ”。 


如 图 6-73 所 示 ,成 功 使 能 双 机 热 备 配置 同步 的 “配置 主 ? 防 火 墙 状态 。 


双 机 执 备 配置 


使 能 双 机 热 备 功能 
使 能 会 话 双 机 热 备 功能 

口 使 能 IPSecx 机 热 备 功能 

口 支 持 丰 对 称 路 径 备份 
aman: oabtEneneo xD | 
备份 VLAN: 4094 《1- 4094, 缺 省 值 = 4094) 
确定 


网 自动 同步 更 新 配置 


当前 热 备 状态 : 同步 运行 
当前 配置 的 同步 状态 : 主 设 备 : 自动 同步 更 新 模 填 
刷新 


图 6-73 “配置 主 ” 防 火 墙 
如 图 6-74 所 示 , 成 功 使 能 双 机 热 备 配 置 同步 的 “配置 备 ” 防 火 墙 状 态 。 


双 机 热 备 配置 


使 能 双 机 热 备 功能 
使 能 会 话 双 机 执 备 功能 
口 使 能 IPSec 机 热 备 功能 
口 支持 韭 对 称 路 径 备份 
口 作 为 配置 同步 的 主 设备 国 自 动 同步 更 新 村 置 
备份 接口 : GigabitEthemetol 
备份 YLAN: 4094 《1- 4094, 缺 省 值 = 4094) 
确定 
当前 热 备 杖 态 : 同步 运行 
当前 配置 的 同步 状态 : 备 设备 : 自动 同步 更 新 配置 
刷新 


图 6-74 “配置 备 ” 防 火 墙 状态 
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产品 6.2.8 防火 墙 重 启 故障 排查 步骤 详解 


1. 开始 

防火 墙 重启 问题 定位 故障 的 思路 是 : 首先 排除 由 于 设备 供电 失败 造成 重启 的 可 能 ,然后 
检查 是 否 人 为 操作 因素 造成 重启 ,确定 是 由 于 设备 自身 原因 发 生 重启 的 ,应 尽快 收集 相关 信息 
并 反馈 至 H3C 技术 支持 中 心 分 析 处 理 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 是 否 热 重启 

查看 设备 最 近 一 次 重启 类 型 。 如 果 是 热 重 启 , 则 有 可 能 是 由 于 人 为 操作 因素 或 设备 自身 
因素 引起 ; 如 果 是 冷 重启 ,通常 是 由 于 供电 不 稳定 、 临 时 断 电 等 原因 引起 。 

W display reboot-type 

例如 : 通过 命令 查看 当前 设备 的 最 近 一 次 重启 类 型 。“Warm” 表 示 热 重启 ,“Cold” 表 示 冷 
重启 。 


<H3C> display reboot-type 
The rebooting type this time is: Warm 


<H3C> display reboot-type 
The rebooting type this time is: Cold 


设备 发 生 重启 事件 后 ,在 SNMP Trap 信息 中 也 可 以 查看 到 对 应 的 告警 记录 。 

命令 : display trapbuf fer reverse 

例如 : 通过 命令 查看 当前 设备 Trap 信息 中 有 关 重 启 的 记录 。 同 理 ,“Warm" 表 示 热 重启 ， 
“Cold" 表 示 冷 重启 。 


<H3C> display trapbuffer reverse 

Trapping buffer configuration and contents:enabled 
Allowed max buffer size : 1024 

Actual buffer size : 256 

Channel number : 3 , channel name : trapbuffer 
Dropped messages : 0 

Overwritten messages : 0 

Current messages :2 


#Dec 615:42:06:128 2013 H3C DEVM/4/SYSTEM WARM START: 
Trap 1.3.6.1.4.1.25506.6.8.5<hh3cSysWarmStartTrap> : system warm start. 


#Dec 916:36:49:740 2013 H3C DEVM/4/SYSTEM COLD START: 
Trap 1.3.6.1.4.1.25506.6.8.4 一 hh3cSysColdStartTrap 二 : system cold start. 


(2) 检查 设备 供电 

设备 发 生冷 重启 常见 于 供电 不 稳定 或 临时 中 断后 重新 恢复 的 情形 ,也 可 能 是 设备 管理 员 
手工 关闭 电源 开关 或 断 开 电 源 线 强行 使 设备 下 电 后 重新 恢复 的 情形 ,对 于 防火 墙 插 卡 则 有 可 
能 是 由 于 宿主 路 由 交换 主机 下 电 、 防 火 墙 插 卡 被 拔 插 等 。 在 排查 时 ,应 当 注 意 核实 机 房 供电 设 
施 运行 情况 `UPS 电源 工作 情况 等 ,对 电源 线 、 电 源 插 排 等 也 要 仔细 检查 ,避免 接触 不 良 或 线 
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路 问题 。 对 于 防火 墙 择 卡 ,应 当 关注 宿主 路 由 交换 主机 是 否 存在 电源 故障 、 整 机 重启 、 防 火 墙 
板 卡 拔 插 动 作 等 ,可 以 通过 路 由 交换 主机 的 日 志 告 警 信息 进行 确认 。 
(3) 检查 是 否 手工 重启 
设备 管理 员 手 工 重启 防火 墙 可 能 的 方式 包括 通过 命令 行 、Web 配置 页 面 直接 操作 防火 墙 
重启 ,还 包括 网 络 管理 员 通 过 SNMP 网 管 远程 操作 防火 墙 重启 ,以 及 通过 宿主 路 由 交换 主机 
OAP 命令 间接 重启 防火 墙 插 卡 等 。 由 于 防火 墙 重启 时 其 内 存 中 的 日 志 信 息 无 法 保存 ,因此 必 
须 借 助 日 志 主 机 、 网 管 系统 等 协助 确认 。 
(4) 收集 设备 信息 
如 果 已 经 确认 防火 墙 在 供电 正常 且 无 人 为 操作 的 前 提 下 ,出 现 无 故 重启 现象 ,应 尽快 收集 
防火 墙 诊断 信息 、 堆 栈 信息 并 反馈 。 如 果 防 火 墙 出 现 罕见 的 反复 重启 现象 ,还 需要 将 防火 墙 在 
反复 重启 过 程 中 命令 行 界面 所 打印 出 的 全 部 信息 记录 并 反馈 。 
MA: display diagnostic-in formation 
display exception 10 verbose 
display exception 10 verbose from-device 
例如 : 通过 命令 收集 防火 墙 诊断 信息 ,堆栈 信息 。 收 集 诊断 信息 时 ,推荐 采用 先 保存 为 文 
件 ,然后 再 下 载 并 反馈 的 方式 ,如 下 所 示 。 


<H3C> display diagnostic-information 

Save or display diagnostic information (Y=save, N= display)? [Y/N]: y 
Please input the file name( * . diag) [cfa0 : / default. diag] : 

Diagnostic information is outputting to cfa0:/default. diag. 

Please wait... 

Save successfully. 


[H3C-hidecmd] display exception 10 verbose 
i E A asi Siontion imorn: O- =m a 


Exception Number: 0x20 

Exception Name: NMI 

Exception Instruction: 0x80231EA8 
Exception Slot: 0 

Exception VCpu: 0 

Exception Task: VIDL (TID: 3) 
Exception Stack Base: 0x82407ía8 

Exception Time: 2000-04-26 12:00:51 


Exception Tick: 0x0(CPU Tick High) 0xe2234e3c(CPU Tick Low) 


防火 墙 是 路 聚合 故障 排查 
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产品 6.2.9 防火 墙 链 路 聚合 故障 排查 。 渭 且 到 要 详解 


1. 开始 

链 路 聚合 通过 将 多 条 物理 链 路 搁 绑 在 一 起 成 为 一 条 逻辑 链 路 ,从 而 实现 增加 链 路 带宽 和 
提高 链 路 可 靠 性 的 目的 , 链 路 聚合 定位 问题 的 基本 思路 是 : 先 查看 成 员 端口 选中 状态 .再 查看 
端口 流量 负载 分 担 情况 ,如果 是 防火 墙 等 安全 设备 ,还 需要 查看 聚合 口 是 否 加 入 安全 区 域 以 及 
域 间 策 略 是 否 允许 等 信息 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 成 员 端口 选中 状态 

聚合 组 内 的 成 员 端口 有 选中 (Selected) 和 非 选 中 (Unselected) 两 种 状态 ,只 有 选中 状态 的 
成 员 端 口才 能 够 正常 收发 数据 报 文 , 所 以 首先 要 确保 聚合 组 内 的 成 员 端口 都 处 于 选中 状态 。 

命令 : display link-aggregation verbose (Bridge Aggregation/ Route Aggregation) 

例如 : 通过 命令 查看 聚合 组 2 的 成 员 端口 GE0/6 端口 处 于 选中 状态 ,GE0/7 处 于 非 选中 


<H3C>display link-aggregation verbose 
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing 
Port Status: S -- Selected, U -- Unselected 
Flags: A -- LACP_Activity, B-- LACP_Timeout, C -- Aggregation, 
D -- Synchronization, E -- Collecting, F -- Distributing, 
G -- Defaulted, H -- Expired 


Aggregation Interface: Bridge-Aggregation2 
Aggregation Mode: Dynamic 

Loadsharing Type: Shar 

System ID: 0x8000, 80f6-2ed3-9de8 


Local: 
Port Status Priority Oper-Key Flag 
GE0/6 s 32768 3 {ACDEF} 
GE0/7 U 32768 3 {AC} 

Remote 
Actor Partner Priority OperKey SystemID Flag 
GE0/6 7 32768 1 0x8000, Ocda-4155-a9ee ( ACDEF) 
GE0/7 8 32768 TL 0x8000, Ocda-4155-a9ee ( ACEF) 


(2) 检查 成 员 端口 配置 
要 想 让 端口 处 于 选中 状态 ,首先 必须 保证 端口 的 属性 类 配置 (速率 、 双 工 和 链 路 状态 ) 和 第 
二 类 配置 (端口 隔离 .QinQ、VLAN 和 MAC 地 址 学 习 ) 和 参考 端口 一 致 。 如 果 是 动态 聚合 , 聚 
合 口 两 端的 聚合 方式 也 要 配置 一 致 。 
MS: display inter face xxx 
display current-con figuration inter face xxx 


例如 : 通过 命令 查看 接口 速率 、 双 工 和 VLAN 配置 正确 。 
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<H3C>display interface GigabitEthernet 0/6 

GigabitEthernet0/6 current state: Up 

IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0cda-4155-a9e7 
Description: GigabitEthernet0/6 Interface 
Loopback is not set 
Media type is twisted pair, loopback not set, promiscuous mode set 


1000Mbps-speed mode, full-duplex mode 
# 
<H3C>display current-configuration interface GigabitEthernet 0/6 
# 
interface GigabitEthernet0/6 
port link-mode bridge 
port access vlan 20 
port link-aggregation group 2 
# 
[H3C] display current-configuration interface Bridge-Aggregation 2 
# 
interface Bridge-Aggregation2 
port access vlan 20 
link-aggregation mode dynamic 
# 


(3) 查看 成 员 端口 是 否 超过 聚合 组 上 限 

聚合 链 路 的 带宽 取决 于 聚合 组 内 选中 端口 的 数量 ,在 配置 了 聚合 组 中 的 最 大 选中 端口 数 
之 后 ,聚合 组 内 选中 端口 的 最 大 数量 将 同时 受 配置 值 和 端口 硬件 能 力 的 限制 ,超过 设备 硬件 能 
力 或 者 配置 的 最 大 端口 数 以 后 ,成 员 端 口 将 不 能 被 选中 ,只 能 作为 备份 接口 。 

MA: display current-con figuration inter face xxx 

display link-aggregation verbose 

例如 : 查看 聚合 组 Bridge-Aggregation 2 配置 的 成 员 端口 数 是 三 个 ,但 配置 允许 的 最 大 选 

中 端口 数 为 2, 所 以 实际 选中 的 端口 只 有 两 个 。 


[H3C] display current-configuration interface Bridge-Aggregation 2 
# 
interface Bridge- Aggregation2 
port access vlan 20 
link-aggregation mode dynamic 
link-aggregation selected-port maximum 2 
# 
[H3C]display link-aggregation verbose 
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing 
Port Status: S -- Selected, U -- Unselected 
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation, 
D -- Synchronization, E -- Collecting, F -- Distributing, 
G -- Defaulted, H -- Expired 


Aggregation Interface: Bridge-Aggregation2 
Aggregation Mode: Dynamic 

Loadsharing Type: Shar 

System ID: 0x8000, 0cda-4155-a9ee 
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Local 
Port Status Priority OperKey Flag 
GE0/6 S 32768 1 {ACDEF} 
GE0/7 s 32768 T {ACDEF} 
GE0/8 U 32768 1 {ACD} 

Remote 
Actor Partner Priority Oper-Key SystemID Flag 
GE0/6 7 32768 3 0x8000, 80f6-2ed3-9de8 { ACDEF) 
GE0/7 8 32768 3 0x8000, 80f6-2ed3-9de8 { ACDEF) 
GE0/8 9 32768 3 0x8000, 80f6-2ed3-9de8 ( AC) 

(4) 设置 聚合 组 最 大 选中 端口 数 

默认 情况 下 ,设备 不 对 聚合 组 中 的 最 大 选中 端口 数 做 限制 ,聚合 组 中 的 选中 端口 数 仅 受 端 

口 硬件 能 力 的 限制 ,可 以 通过 命令 设置 每 一 个 聚合 组 支持 的 最 大 选中 端口 数目 。 


命令 : link-aggregation selected-port maximum zz 


例如 : 通过 命令 将 聚合 组 Bridge-Aggregation 2 的 最 大 选中 端口 数 设 置 成 两 个 。 


[H3C]interface Bridge-Aggregation 2 
[H3C-Bridge-Aggregation2] display this 
# 
interface Bridge- Aggregation2 
port access vlan 20 
link-aggregation mode dynamic 
link-aggregation selected-port maximum 2 
# 


(5) 检查 聚合 口 安全 区 域 及 域 间 策略 

对 于 防火 墙 ,必须 将 聚合 接口 加 入 安全 区 域 才能 转发 数据 ,和 否则 接口 收 到 报 文 后 全 部 丢 
弃 。 链 路 聚合 后 ,只 需要 将 聚合 接口 加 入 安全 区 域 ,不 用 再 单独 将 每 一 个 物理 接口 加 入 安全 区 
域 ,如 果 设 备 做 三 层 转 发 ,需要 同时 将 对 应 的 VLAN-Interface 接口 也 加 入 安全 区 域 , 最 后 再 检 
查 域 间 策略 配置 是 否 正确 。 

MA: display current-con figuration | begin zone 

例如 : 通过 命令 可 以 看 到 Bridge-Aggregationl 和 VLAN-Interfacel0 加 入 Trust 域 ， 
Bridge-Aggregation2 和 VLAN-Interface20 加 入 Untrust 区 域 ,Untrust 到 Trust 的 域 间 策略 
也 已 经 放 开 。 


[H3C]display current-configuration | begin zone 
zone name Trust id 2 

priority 85 

import interface Vlan-interface10 

import interface Bridge-Aggregation1 vlan 1 to 4094 
zone name Untrust id 4 

priority 5 

import interface Vlan-interface20 

import interface Bridge-Aggregation2 vlan 1 to 4094 
interzone source Untrust destination Trust 

rule 0 permit 
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source-ip any_address 
destination-ip any_address 
Service any_service 

rule enable 


(6) 查看 链 路 负载 分 担 效果 


查看 实际 物理 接口 统计 信息 ,看 流量 在 聚合 组 的 各 成 员 端口 上 分 发 是 否 均 匀 。 


MA: display interface xxx 


例如 : 通过 命令 查看 ,可 以 看 到 聚合 组 2 的 成 员 端 口 GE0/6 和 GE0/7 流量 分 担 均 匀 。 


[H3C] display interface GigabitEthernet 0/6 
GigabitEthernet0/6 current state: Up 
1000Mbps-speed mode, full-duplex mode 
Last 300 seconds input: 5 packets/sec 491 bytes/sec 0% 
Last 300 seconds output: 5 packets/sec 511 bytes/sec 0% 
Input (total): 10070 packets, 988552 bytes 
10002 unicasts, 0 broadcasts, 68 multicasts, 0 pauses 
Output (total): 10070 packets, 1028796 bytes 
10002 unicasts, 0 broadcasts, 68 multicasts, 0 pauses 


[H3C] display interface GigabitEthernet 0/7 
GigabitEthernet0/7 current state: Up 
1000Mbps-speed mode, full-duplex mode 
Last 300 seconds input: 5 packets/sec 491 bytes/sec 0% 
Last 300 seconds output: 5 packets/sec 511 bytes/sec 0% 
Input (total): 10070 packets, 988680 bytes 
Output (total): 10070 packets, 1028960 bytes 
10000 unicasts, 0 broadcasts, 70 multicasts, 0 pauses 
10000 unicasts, 0 broadcasts, 70 multicasts, 0 pauses 


(7) 检查 聚合 组 负载 分 担 方式 


链 路 聚合 可 以 根据 报 文 的 MAC 地 址 、IP 地 址 ,协议 及 端口 信息 进行 哈 希 将 流量 分 发 到 不 


同 的 物理 链 路 ,在 实际 组 网 中 可 以 根据 客户 需求 或 者 网 络 流量 设置 负载 分 担 的 方式 。 设 备 在 
全 局 或 者 链 路 聚合 接口 视图 下 设置 负载 分 担 方式 ,全 局 下 设置 对 所 有 聚合 组 生效 ,接口 下 设置 
只 对 该 聚合 组 生效 ,两 者 都 设置 的 情况 下 ,接口 设置 的 分 担 方式 优先 。 


命令 : linkaggregation load-sharing mode destination-ip source-ip ip-protocol 


display link-ag gregation load-sharing mode inter face inter face-type inter face-number 


例如 : 通过 命令 查看 并 且 设置 链 路 聚合 的 负载 分 担 方式 。 


[H3C] link-aggregation load-sharing mode destination-ip source-ip ip-protocol 
[H3C] display link-aggregation load-sharing mode interface Bridge-Aggregation 1 


Bridge-Aggregationl Load-Sharing Mode: 
destination-ip address, source-ip address, ip-protocol 


6.2.10 防火 墙 攻击 防范 故障 排查 
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产品 6.2.10 防火 墙 攻 击 防范 故障 排查 ” 信 消 综 详 解 


1. 开始 

随 着 网 络 技 术 的 普及 ,网 络 攻击 行为 出 现 得 越 来 越 频 繁 。 各 种 网 络 病毒 的 泛滥 ,也 加 剧 了 
网 络 被 攻击 的 危险 。 

网 络 防火 墙 是 一 个 或 一 组 实施 访问 控制 策略 的 系统 , 它 监控 可 信任 网 络 ( 相 当 于 内 部 网 
络 ) 和 不 可 信任 网 络 (相当 于 外 部 网 络 ) 之 间 的 访问 通道 ,以 防止 外 部 网 络 的 危险 蔓延 到 内 部 网 
络 上 。 防 火 墙 的 攻击 防范 功能 能 够 检测 拒绝 服务 型 .扫描 宕 探 型 .畸形 报 文 型 等 多 种 类 型 的 攻 
击 , 并 对 攻击 采取 合理 的 防范 措施 。 攻 击 防范 的 具体 功能 包括 黑 名 单 过 滤 、 报 文 攻击 特征 识 
别 , 流 量 异 常 检测 和 入 侵 检 测 统计 。 

排查 故障 的 基本 思路 是 : 通过 分 析 报 文 的 内 容 特征 和 行为 特征 或 者 设备 日 志 等 信息 判断 
开启 的 攻击 类 型 是 否 正确 ,对 攻击 行为 采取 的 措施 检查 是 够 满足 当前 情况 。 

2. 流程 图 相关 操作 说 明 

有 以 下 几 种 方式 判断 设备 遇 到 哪 种 攻击 。 

(1) 会 话 查看 

会 话 管理 是 为 了 实现 NAT、ASPF 攻击 防范 等 基于 会 话 进行 处 理 的 业务 而 抽象 出 来 的 
公共 功能 。 此 功能 把 传输 层 报 文 之 间 的 交互 关系 抽象 为 会 话 , 并 根据 发 起 方 或 响应 方 的 报 文 
信息 对 会 话 进行 状态 更 新 和 超时 老化 。 通 过 查看 会 话 统计 ,来 判断 防火 墙 是 否 收 到 大 量 异 常 
报 文 。 

MẸ: display session statistics 

例如 : 

O 出 口 遭 到 攻击 ,通过 Wireshark 抓 到 不 正常 的 报 文 ,这 种 大 量 源 目地 址 固定 ,端口 号 不 
断 变化 的 UDP 报 文 ,是 端口 扫描 攻击 ,如 图 6-75 所 示 。 


6-75 ”端口 扫描 攻击 


O 查看 系统 攻击 日 志 或 人 侵 检 测 统计 ,直接 发 现 设备 遇 到 哪 种 攻击 。 如 图 6-76 所 示 , 设 
备 遇 到 ICMP Flood 攻击 。 
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攻击 类 型 HEA =n 
BTWIPRYS1S5SLANIR 0 0 
基于 目的 )P 的 连接 数 超出 羡 值 0 0 
图 6-76 ICMP Flood 攻击 
@ 查看 会 话 统 计 。TCP、UDP、TCP 半 连 接 数 一 目 了 然 。 如 果 TCP 半 连 接 数 过 多 ,有 可 


能 遇 到 TCP 半 连 接 攻击 ,如 图 6-77 所 示 


<H3C>display session statistics 
Current session(s):2 
Current TCP session(s): 2 
Half-Open: 0 Half-Close: 0 
Current UDP session(s): 
Current ICMP session(s): 
Current RAWIP session(s): 


relation table(s): 0 


establishment rate: 0/s 

TCP Session establishment rate: 
UDP Session establishment rate: 
ICMP Session establishment rate: 
RAWIP Session establishment rate: 


4604 packet(s, 1503295 byte(s; 
packet(s byte(s; 
packet(s, byte(s) 

RAWIP: packet(s, 445419 
TCP: packet(s byte(s, 
UDP: packet(s byte(s; 
IMP: packet(s. byte(s; 

RAWIP: packet(s) byte(s) 


图 6-77 TCP 半 连 接 攻击 

(2) 是 否 DDoS 

拒绝 服务 型 (Deny of Service,DoS) 攻 击 是 使 用 大 量 的 数据 包 攻 击 系 统 , 使 系统 无 法 接受 
正常 用 户 的 请 求 , 或 者 主机 挂 起 不 能 提供 正常 的 工作 。 主 要 DoS 攻击 有 SYN Flood, Fraggle 
等 。 拒 绝 服务 攻击 和 其 他 类 型 的 攻击 不 大 一 样 ,攻击 并 不 是 去 寻找 进入 内 部 网 络 的 入 口 ,而 
是 去 阻止 合法 的 用 户 访 问 资源 或 路 由 器 。 

命令 : display session statistics 

例如 : 抓 包 如 图 6-78 所 示 , 把 TCP SYN 包 的 源 地 址 和 目标 地 址 都 设置 成 菜 -个 受害 者 
的 IP 地址。 这 将 导致 受害 者 向 它 自己 的 地 址 发 送 SYN-ACK 消息 ,结果 这 个 地 址 又 发 回 
ACK 消息 并 创建 一 个 空 连接 ,每 一 个 这 样 的 连接 都 将 保留 直到 超时 掉 。 这 是 Land 攻击 ,DoS 
攻击 的 一 种 。 

此 外 ,还 有 Smurf 攻击 ,Fraggle 攻击 ,Syn Flood 攻击 ,ICMP Flood Mei 
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Filter: [z] spression.. Clear Apply 


Time Source Destination 


d 
f] 


Protocol Length Info 


图 6-78 DDoS 流量 攻击 


通过 命令 display session statistics 可 以 查看 到 骤然 升 高 的 异常 连接 数 ,以 此 做 判断 也 
可 以 。 

(3) 检查 DDoS 相关 配置 

泛 洪 攻击 检测 主要 用 于 保护 服务 器 ,通过 监测 向 服务 器 发 起 连接 请 求 的 速率 或 者 服务 器 
上 建立 的 半 连 接 数量 ,来 检测 各 类 泛 洪 攻击 ,一 般 应 用 在 设备 连接 内 部 网 络 的 安全 区 域 上 , 且 
仅 对 应 用 了 攻击 防范 策略 的 安全 区 域 的 出 方向 报 文 有 效 。 若 设备 检测 结果 显示 向 某 服务 器 发 
起 的 连接 请 求 的 速率 达到 或 超过 了 一 定 阔 值 ,或 服务 器 上 建立 的 半 连 接 数 量 达到 或 超过 了 一 
定数 量 ( 仅 SYN Flood 攻击 检测 支持 半 连 接 数 限制 ), 则 默认 会 输出 告警 日 志 , 另 外 还 可 以 根 
据 配 置 对 后 续 新 建 连接 的 报 文 进行 丢弃 处 理 。 

流量 异常 检测 。 

例如 : 在 DMZ 域 配置 SYN Flood 攻击 检测 ,根据 服务 器 的 实际 性 能 ,配置 服务 器 允许 的 
最 大 新 建 连接 速率 为 每 秒 5000 个 连接 , 当 检 测 到 攻击 后 阻 断 发 往 该 服务 器 的 后 续 连 接 。 此 需 
求 需要 在 “攻击 防范 一 流量 异常 检测 ~SYN Flood” 路 径 下 配置 ,如 图 6-79 所 示 。 


x 


#BSYN Floootë MEA 

加 ”指定 保护 主机 的 配置 
Pin: 2 
Wema: ARAKA 1- 1000000) 
GELL 5000 其 文才 种 (1- 1000000) 
PECAR 
Wema: hesu 1 - 1000000) 
RERE: hesa 1 - 1000000) 


ES C 5688515 
az | ma 


图 6-79 SYN Flood 检测 配置 


说 明 : Flood 攻击 防范 功能 应 在 受 保护 区 域 开 启 。 

设 定 触发 国 值 为 10000, 表 示 每 秒 报 文 数 达到 10000 后 认为 遇 到 攻击 ,并 发 出 告警 , 如 
图 6-80 所 示 。 

在 全 局 下 ,可 以 选择 “发 现 攻 击 丢 弃 报 文 ", 但 是 有 可 能 导致 正常 业务 不 通 。 另 外 ,Syn 
Flood 攻击 防范 还 可 以 使 用 TCP Proxy 功能 .如 图 6-81 所 示 。 
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图 6-80 ENIH 


prana: C -[ sa | 
要 保护 Pp 雹 址 woa ṣa FENAGW ERRU 损 作 


we | az | anoe 


6-81 TCP Proxy 功能 


TCP Proxy 功能 用 来 防止 服务 器 受到 SYN Flood 攻击 。 客 户 端 通过 TCP 代理 请 求 与 受 
保护 的 服务 器 建立 连接 时 ,TCP 代理 首先 验证 客户 端的 请 求 是 否 为 SYN Flood 攻击 。 验 证 通 
过 后 ,客户 端 和 服务 器 之 间 才 能 建立 TCP 连接 ,从 而 避免 服务 器 受到 攻击 。 

在 “攻击 防范 一 TCP Proxy 一 受 保护 IP 配置 ?路径 下 可 以 手动 添加 被 保护 IP, 如 果 在 
SYN Flood 攻击 全 局 下 选择 “向 TCP Proxy 添加 受 保 护 IP 地 址 ?选项 , 则 当 被 保护 IP 遇 到 攻 
击 时 动态 添加 进去 。 

然后 开启 双向 的 trust 域内 的 代理 功能 ,如 图 6-82 所 示 。 


p" = a= 
gm | 
= 安全 区 域 = RERS 


6-82 ”双向 trust 域内 代理 


单 向 代理 方式 是 指 仅 对 TCP 连接 的 正 向 报 文 进行 处 理 。 双 向 代理 方式 是 指 对 TCP 连接 
的 正 向 和 反 向 报 文 都 进行 处 理 。 被 保护 IP 在 哪个 安全 域 就 开启 此 安全 域 代理 功能 。 

说 明 : TCP Proxy 功能 只 在 安全 区 域 的 入 方向 生效 。 

(4) 是 否 地 址 欺骗 攻击 

地 址 欺骗 攻击 又 称 为 IP Spoofing 攻击 。 为 了 获得 访问 权 , 入 侵 者 生成 一 个 带 有 伪造 源 地 
址 的 报 文 。 对 于 使 用 基于 IP 地 址 验证 的 应 用 来 说 ,此 攻击 方法 可 以 导致 未 被 授权 的 用 户 可 以 
访问 目的 系统 ,甚至 是 以 root 权限 来 访问 。 即 使 响应 报 文 不 能 达到 攻击 者 ,同样 也 会 造成 对 
被 攻击 对 象 的 破坏 。 这 就 造成 IP Spoofing 攻击 ,如 图 6-83 所 示 。 

例如 : 一 般 情 况 下 , 若 从 某 接口 不 断 发 来 源 地 址 连续 变化 的 报 文 ,有 可 能 是 从 一 台 主 机 发 
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只 允许 
202.3.3.10/24 
网 段 访问 


伪造 源 地 址 
报 文 


PC: 202.1.1.10/24 APP Server: 


u 
SIP: 202.3.3.10 DIP: 10.1.1.1 10.1.1.1 


6-83 ”地址 欺骗 攻击 原理 


来 ,构造 了 虚假 的 源 地 址 ,如 下 面 的 日 志 所 示 。 


<H3C>system-view 

System View: return to User View with Ctrl+2. 
[H3C]display firewal session table verbose 
Total session number: 126730 


tep, HITP, 
58. 68. 95. 205:27179-->61. 147. 103. 125:80 
tag: 80000000, ttl: 00:00:05 left: timeout 


top, HTTP, 
58. 68. 194. 45:47335-->61. 147. 103. 125:80 
tag: 80000000, ttl: 00:00:05 left: 00:00:04 


tep, HITP, 
58. 68. 148. 155:55668-->61. 147. 103. 125:80 
tag: 80000000, ttl: 00:00:05 left: timeout 


tcp, HITP, 
58. 68. 194. 44:47334-->61. 147. 103. 125:80 
tag: 80000000, ttl: 00:00:05 left: 00:00:04 


tep, HITP, 
58. 68. 148. 154:55667-->61. 147. 103. 125:80 
tag: 80000000, ttl: 00:00:05 left: timeout 


tcp, HTTP, 
58. 68. 27. 45:39727-->61. 147. 103. 125:80 
tag: 80000000, ttl: 00:00:05 left: timeout 


tep, HTTP; 
58. 68. 107. 15:25120-->61. 147. 103. 125:80 


tag: 80000000, ttl: 00:00:05 left: 00:00:03 
tep, 站 


(5) 检查 URPF 配置 

URPF(Unicast Reverse Path Forwarding, 单 播 反 向 路 径 转发 ) 的 主要 功能 是 用 于 防范 基 
于 源 地 址 欺骗 的 网 络 攻击 行为 。 

URPF 检测 每 个 接口 流入 的 IP 报 文 的 源 地 址 与 目的 地 址 ,并 对 报 文 的 源 地 址 反 向 查找 路 
由 表 , 入 接口 与 以 该 IP 地 址 为 目的 地 址 的 最 佳 出 接口 不 相同 的 IP 报 文 被 视 为 IP Spoofing 攻 
击 , 将 被 拒绝 ,并 进行 日 志 记录 。 

URPF 检查 有 严格 (Strict) 型 和 松散 (Loose) 型 两 种 。 此 外 .还 可 以 支持 ACL 与 链 路 层 、 
默认 路 由 的 检查 。 

URPF 的 处 理 流程 如 下 。 

O 如 果 报 文 的 源 地 址 在 设备 的 FIB 表 中 存在 。 对 于 Strict 型 检查 , 反 向 查找 报 文 出 接 
口 , 若 其 中 至 少 有 一 个 出 接口 和 报 文 的 入 接 口 相 匹配 , 则 报 文通 过 检查 ; 否则 报 文 将 被 拒绝 。 

对 于 Loose 型 检查 , 报 文 通过 检查 。 

© 如 果 报 文 的 源 地 址 在 设备 的 FIB 表 中 不 存在 , 则 检查 默认 路 由 及 URPF 是 否 配置 了 
允许 对 默认 路 由 进行 处 理 。 

对 于 没有 配置 允许 对 默认 路 由 进行 处 理 的 情况 ,不管 是 Strict 型 检查 还 是 Loose 型 检查 ， 
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只 要 报 文 的 源 地 址 在 设备 的 FIB 表 中 不 存在 ,该 报 文 都 将 被 拒绝 。 

对 于 配置 了 默认 路 由 ,同时 又 配置 了 允许 对 默认 路 由 进行 处 理 的 情况 ,如 果 是 Strict 型 检 
查 , 只 要 默认 路 由 的 出 接口 与 报 文 的 入 接口 一 致 , 则 报 文 将 通过 URPF 的 检查 ; 如 果 默 认 路 由 
的 出 接口 和 报 文 的 入 接口 不 一 致 , 则 报 文 将 被 拒绝 。 如 果 是 Loose 型 检查 , 报 文 都 将 通过 
URPF 的 检查 ,进行 正常 的 转发 。 

命令 : 无 

举例 : 启动 URPF ,要 求 严格 检查 ,同时 允许 对 默认 路 由 进行 特殊 处 理 , 如 图 6-84 所 示 o 


E F 检 查 配置 


加 使 能 URPF 
缺 省 路 由 
国 ACL 20od (2000- 3999) 


URPF 检 查 类 型 : Strict M 


ml 


6-84 URPF 检查 配置 


说 明 : URPF 检查 仅 对 安全 区 域 中 接口 收 到 的 报 文 有 效 。 

对 于 广播 地 址 ,直接 予以 丢弃 。 

对 于 全 零 地 址 , 如果 目 的 地 址 不 是 广播 , 则 丢弃 。( 源 地 址 为 0.0.0.0, 目 的 地 址 为 
255. 255. 255. 255 的 报 文 ,可 能 是 DHCP 或 者 BOOTP 报 文 ,不 做 丢弃 处 理 。) 

当 且 仅 当 报 文 被 拒绝 后 , 才 去 匹配 ACL。 如 果 被 ACL 人 允许 通过 , 则 报 文 继续 进行 正常 的 
转发 (此 类 报 文 称 为 被 抑制 丢弃 的 报 文 ); 如 果 被 ACL 拒绝 , 则 报 文 被 丢弃 。 

其 他 选项 请 参照 上 文 或 配置 手册 。 

(6) 是 否 ARP 攻击 

以 太 网 网 络 中 的 主机 ,在 互相 进行 IP 访问 之 前 ,都 必须 先 通过 ARP 协议 来 获取 到 目的 
IP 地 址 对 应 的 MAC 地 址 。 在 通过 路 由 器 .三 层 交 换 机 作为 网 关 时 ,主机 为 了 把 数据 发 送 到 网 
关 , 同 样 需要 通过 ARP 协议 来 获取 网 关 的 MAC 地 址 。 由 于 ARP 协议 本 身 不 具备 任何 的 安 
全 性 ,所 以 留 下 了 很 多 的 安全 漏洞 。 

对 于 ARP 攻击 ,可 以 抓 包 看 是 否 收 到 大 量 ARP 报 文 ,或 者 查看 ARP 表 项 检查 MAC 地 
址 与 IP 地 址 映射 是 否 有 变化 。 

MS: dis arp all/dynamic 

例如 : 查看 ARP 映射 表 项 ,如 图 6-85 所 示 。 

(7) 检查 ARP 攻击 防范 配置 

ARP 攻击 有 以 下 防范 方式 。 

O 定时 发 送 免 费 ARP 功能 可 以 及 时 通知 下 行 设备 更 新 ARP 表 项 或 者 MAC 地 址 表 项 。 

@ ARP 自动 扫描 与 固化 。 

举例 如 下 。 
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<H3C>dis arp all 

Type: S-Static  D-Dynamic 

VLAN ID Interface Aging Type 
3ce5- 10612. 2ae6 SE0/1 z 

GE0/1 
GE0/1 
GE0/1 
GE0/1 
3ce5-a682-c521 GE0/1 
000f-e2e0-44e8 GE0/1 
a613-fe58 SE0/1 
287 2: GE0/1 
GE0/1 
da2 GE0/1 
002 89a6- 393b GEO/1 
GE0/1 
GE0/1 
GE0/1 
GE0/1 
80f6-2ec3- Seol GE0/1 
c4ca-d9dc-f274 GE0/1 
c4ca-d9dc-f26a GE0/1 
80f6-2ec3-c001 GE0/1 


oooooooooooooooooooo 


图 6-85 ARP 映射 表 项 


免费 ARP。 设 置 定时 发 送 免 费 ARP 报 文 的 接口 和 发 送 间 隔 时 间 , 如 图 6-86 所 示 。 


免责 ARP 定 8 发 送 
定时 发 送 接口 . L IS) 
GigabtEthemeto/2 
GigabitEthemet0/3 
GigabitEthemet0/4 
Ten-GigabitEthemet0/0 


说 明 ; 
合谋 定 时 发 送 接口 的 最 大 数量 为 1024。 
MERDE PEHE 


图 6-86 设 定时 间 


说 明 : 配置 本 功能 后 ,只 有 当 接 口 链 路 Up 并 且 配 置 IP 地 址 后 ,此 功能 才 真 正 生 效 ; 如 果 


修改 了 免费 ARP 报 文 的 发 送 周期 , 则 在 下 一 个 发 送 周期 才能 生效 。 


© ARP 自动 扫描 功能 一 般 与 ARP 固化 功能 配合 使 用 。 6-87 所 示 * 月 用 ARP 


自动 


扫描 功能 后 ,设备 会 对 局 域 网 内 的 邻居 自动 进行 扫描 (向 邻居 发 送 ARP 请 求 报 文 ,获取 邻居 


的 MAC 地 址 ,从 而 建立 动态 ARP KH), 


" GigabtEthemeto/1 + 

FPT IE 

结束 IP 地 址 1921680 100 
RP4yrtsARP+IREyPinttruBfrT3s 


3 C) AyDHRIRSIB 
Aih 


BJ: FAIPARI ARNS BLASERONEPRE IMPERA 


图 6-87 启用 ARP 自动 扫描 


说 明 : 如 果 不 指定 ARP 自动 扫描 区 间 , 则 仅 对 接口 下 的 主 IP 地 址 网 段 内 的 邻居 进行 


描 。 其 中 ,发 送 的 ARP 请 求 报 文 的 源 IP 地 址 就 是 接口 的 主 IP 地 址 ; 开始 IP 地 址 和 结束 工 


地 址 必须 与 接口 的 IP 地址 ( 主 IP 地 址 或 手工 配置 的 从 IP 地 址 ) 在 同一 网 段 。 


如 图 6-88 所 示 ,ARP 固化 功能 用 来 将 当 当前 的 ARP 动态 表 项 (包括 ARP 自动 扫描 4 
动态 ARP 表 项 ) 转 换 为 静态 ARP 表 项 。 通 过 对 动态 ARP 表 项 的 固化 ,可 以 有 效 地 防止 攻击 


E 成 
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者 修改 ARP 表 项 。 
F iP 地 址 ”~ mp 
加 IP 地 址 MAC 地 址 VANID #0 2m VENES 
E 10.255.255.14 000f-e2ec-2da2 GigabitEthemet0/1 动态 
1025525521 000Fe287-3c23 GigabtEmemetor 3 
F) 1025525522 000fe2e0-44e8  GigabitEhemet0/1 H 
回 1025525524 3cs5-a613-07 GigabaEmemeto/ 动态 
加 1025525525 3ce5-3612.2a66 GiloabtEmemeton 动态 
F) 10255255.102 3ce5-a682-c5bc GigabitEhemet0/1 a5 
回 10001 3ce5-a682-c5bc Gigab4Enemelt0/3 动态 
Hi "r = 条 | 当前 : WI1 页 ， 1~7 条 1 首页 上 一 页 下 -页 En 1 ELI 
L semt Cn ] m | m |) 
说 明 : -全 部 固化 -和 EE EH 5215346 h MBARE = 


6-88 ARP 固 化 


例如 : 出 接口 运营 商 网 关 MAC 地 址 是 固定 ,一般 不 会 时 常 变化 ,而 出 接口 又 容易 受到 攻 
击 , 所 以 为 了 防止 ARP 攻击 ,可 以 启用 固化 。 

(8) 异常 报 文 攻击 

单 包 攻 击 也 称 为 畸形 报 文 攻击 。 攻 击 者 通过 向 目标 系统 发 送 有 缺陷 的 IP 报 文 ,如 分 片 重 
WJ IP 报 文 .TCP 标志 位 非法 的 报 文 , 使 得 目标 系统 在 处 理 这 样 的 IP 报 文 时 出 错 、 崩溃 ,给 
目标 系统 带 来 损失 ,或 者 通过 发 送 大 量 无 用 报 文 占 用 网 络 带宽 等 行为 来 造成 攻击 o 

常见 特殊 报 文 攻击 有 以 下 几 种 : Fraggle, Land, WinNuke, TCP Flag, ICMP Unreachable, 
ICMP Redirect, Tracert, Smurf,Source Route, Large ICMP, Route Record 等 。 

(9) 选择 安全 域 并 选中 相应 防范 功能 

报 文 异 常 检 测 功能 可 以 通过 分 析 经 过 设备 的 报 文 特 征 来 判断 报 文 是 否 具有 攻击 性 ,一 般 
应 用 在 设备 连接 外 部 网 络 的 安全 区 域 上 , 且 仅 对 启用 了 报 文 异 常 检 测 功能 的 安全 区 域 的 入 方 
向 报 文 有 效 。 若 设备 检测 到 某 报 文 具有 攻击 性 , 则 默认 会 输出 告警 日 志 , 另 外 还 可 以 根据 配置 
将 检测 到 的 攻击 报 文 做 丢弃 处 理 。 

说 明 : 报 文 异 常 检测 需 在 攻击 源 所 在 安全 域 开启 。 

例如 : 防范 外 部 网 络 Untrust 对 内 部 网 络 trust 主机 的 Land 攻击 和 Smurf 攻击 ,发 现 攻 
击 丢 包 , 如 图 6-89 所 示 。 


E BEbFra9glemras tam 
团 Bbtanatikikm| 

E 让 winNuke 东 击 检 列 

E 局 TCP Flaghihtaw 

E 让 CMP 丰 本 过 IE 六 攻击 检 到 

E) Faticupismigxastam 

E) BsbTracenigzropistsmi 

团 patsmumtiktamN 

D BSNBSEmiSñIPIESP SEN 

启动 带路 由 记录 选 ] 页 IP 报 文 攻击 恰 到 

E) 部 4 超大 ICMP 报 文 攻击 检 出 最 大 报 文 长 度 : OOOO ] (28-65534) 字 节 


图 6-89 ”发 现 攻击 丢 包 


6.2.11 防火 墙 ALG 故障 排查 。 沈 


防火 卉 AG 故障 排查 


y 表示 上 一步 结 果 正 吉 


=---》 表示 上 一步 结果 出 更 问题 


* 
í 
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06 安全 产品 6.2.11 防火 墙 ALG 故障 排查 步骤 详解 


1. 开始 

ALG 技术 能 对 多 通道 协议 进行 应 用 层 报 文 信息 的 解析 和 地 址 转换 ,将 载荷 中 需要 进行 地 
址 转换 的 IP 地 址 和 端口 或 者 需 特 殊 处 理 的 字段 进行 相应 的 转换 和 处 理 , 从 而 保证 应 用 层 通 信 
的 正确 性 。 本 文通 过 查看 防火 墙 相关 配置 ,排查 ALG 功能 使 用 的 正确 性 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 相关 ALG 功能 是 否 开启 

新 版 本 的 防火 墙 默认 关闭 了 大 部 分 ALG 功能 ,只 开启 了 最 常用 的 FTP。 在 后 续 的 配置 
中 ,可 以 根据 需求 选择 某 一 项 进行 开启 

MA: display this 

例如 : 查看 当前 alg 开启 状态 ,只 会 显示 未 开启 的 ALG 功能 。 


[H3C] dis this 


undo alg dns 
undo alg rtsp 
undo alg h323 
undo alg sip 
undo alg sqlnet 
undo alg pptp 
undo alg ils 
undo alg nbt 
undo alg msn 
undo alg qq 
undo alg tftp 
undo alg sccp 
undo alg gtp 


(2) 查看 会 话 状 态 
确认 相关 ALG 功能 开启 后 ,查看 当前 会 话 的 状态 ,并 查看 是 否 成 功 建立 关联 表 项 。 
fh. display session table source-ip z. z. z. z verbose 

display session statistics 


例如 : 通过 命令 查看 ,可 以 确认 会 话 正 常 。 


[H3C]display session table source-ip 192.168.1.1 ver 
Initiator: 
Source IP/Port : 192.168. 1. 1/5000 
Dest IP/Port : 183. 60.16. 208/8000 
VPN-Instance/ VLAN ID/VLL ID: 
Responder: 
Source IP/Port : 183. 60.16. 208/8000 
Dest IP/Port : 60.191.99.139/1199 
VPN-Instance/ VLAN ID/VLL ID: 
Pro: UDP(17) App: QQ State: UDP-READY 
Start time: 2013-07-02 21:28:57 TTL: 9s 
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Root Zone(in): Trust 
Zone(out) : Untrust 

Received packet(s) (Init): 1 packet(s) 111 byte(s) 
Received packet(s)(Reply) : 1 packet(s) 71 byte(s) 
[H3C] dis session statistics 
Current session(s) :5 

Current TCP session(s): 4 

Half-Open: 0 Half-Close: 2 

Current UDP session(s): 1 

Current ICMP session(s): 0 

Current RAWIP session(s): 0 


Current relation table(s): 1 


Session establishment rate: 0/s 

TOP. Session establishment rate: 0/s 

UDP Session establishment rate: 0/s 

ICMP Session establishment rate: 0/s 

RAWIP Session establishment rate: 0/s 
Received TCP: 1563 packet(s) 206376 byte(s) 
Received UDP: 491 packet(s) 46888 byte(s) 
Received ICMP: 45 packet(s) 3548 byte(s) 
Received RAWIP: 0 packet(s) 0 byte(s) 
Dropped TCP: 0 packet(s) 0 byte(s) 
Dropped UDP: 0 packet(s) 0 byte(s) 
Dropped ICMP: 0 packet(s) 0 byte(s) 
Dropped RAWIP: 0 packet(s) 0 byte(s) 


(3) 查看 会 话 关 联 表 项 
查看 防火 墙 设备 上 生成 的 关联 表 项 。 
MS: display session relation-table 


例如 : 通过 命令 查看 ,可 以 确认 生成 了 相应 的 关联 表 项 。 


[H3C] dis session relation-table 


Local IP/Port Global IP/Port MatchMode 
192.168.1.1/51234 60.191.99.139/1224 Either 
App: unknown Po: UDP TTL: — AllowConn 4294967295 


Total find: 1 


如 果 确 认 上 述 均 正常 ,收集 诊断 信息 。 
MS: display diagnostic-information 


收集 完成 以 后 通过 FTP 下 载 文件 。 


拨打 热线 
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产品 6.2.12 M9000 丢 包 问题 故障 排查 步 又 详解 


1. 开始 

M9000 丢 包 问题 定位 故障 的 思路 是 : 首先 确定 发 生 丢 包 的 具体 位 置 和 方向 ,然后 再 具体 
分 析 产 生 丢 包 的 原因 。 须 注意 : 本 云图 中 的 M9000 丢 包 问题 ,主要 指 客户 业务 的 双方 向 数据 
报 文 经 设备 转发 后 ,出 现 部 分 报 文 被 丢弃 而 未 能 转发 至 目标 设备 的 问题 , 即 并 不 是 完全 不 通 类 
问题 。M9000 设备 的 业务 端口 板 支持 硬件 流量 统计 特性 ,因此 可 以 利用 流量 统计 策略 确认 丢 
包 发 生 的 准确 位 置 及 方向 ,以 便 判 断 问题 是 否 由 M9000 造成 ; 然后 再 依次 对 M9000 的 转发 表 
项 .端口 状态 .CPU/MEM、 限 速 相关 配置 等 进行 检查 ; 如 果 问 题 现象 为 偶发 的 临时 性 丢 包 , 则 
应 重点 检查 当 丢 包 发 生 时 的 会 话 表 项 统计 数据 .端口 统计 数据 .CPU/MEM 统计 数据 等 。 如 
果 会 话 统计 值 出 现 异 常 (每 秒 新 建 会 话 速率 /并 发 连接 数 远 超 日 常数 据 ) ,通常 是 由 于 突 发 性 异 
常 流量 短 时 内 在 M9000 上 创建 大 量 会 话 表 项 ,进而 影响 了 设备 转发 性 能 导致 。 这 类 故障 一 般 
通过 合理 优化 配置 或 直接 消除 异常 流量 攻击 来 源 即 可 解决 。 

2. 流程 图 相关 操作 说 明 

(1) 是 否 M9000 丢 包 

丢 包 类 问题 常常 于 现场 工程 师 利 用 ICMP ping 测试 发 现 。 因 此 可 以 通过 对 ping 测试 的 
数据 包 实 施 流量 统计 ,以 进一步 明确 丢 包 问题 是 否 发 生 在 本 M9000 设备 上 。 这 种 利用 ICMP 
报 文 丢弃 情况 来 考察 实际 业务 报 文 丢 弃 情况 的 方法 ,在 多 数 场景 中 都 是 极 具 参考 意义 的 。 流 
量 统 计策 略 即 流行 为 是 "accounting” 的 QoS 策略 ,可 以 下 发 在 M9000 与 上 下 行 设 备 互 联 的 业 
务 端 口上 。 如 果 无 法 实施 流量 统计 策略 ,也 可 以 通过 在 流量 入 /出 M9000 的 端口 位 置 进行 镜 
像 抓 包 , 通 过 对 比 进 入 设备 之 前 和 经 过 设备 之 后 的 报 文 情况 来 判断 数据 包 经 转发 后 ,是 否 出 现 
了 丢 包 \ 乱 序 等 异常 现象 。 


MG: acl number rezz 


rule x permit icmp source x.x. x.x 0 destination z. z. x.x 0 

traf fic classi fier xxxx 

if-match acl zzzzx 

tra f fic behavior ZI 

accounting 

qos policy xxxx 

classi fier xxxx behavior xxxx 

qos apply policy xxxx inbound enhancement 

qos apply policy xxxx outbound enhancement 

displayqos policy inter face xrxxx 

例如 : 通过 在 M9000 与 上 下 行 设备 互联 端口 双方 向 配置 流量 统计 策略 ,可 以 观察 10. 0. 0. 1 

(客户 端 _Ten-GE1/0/1) 与 172. 16. 0. 1( 服 务 器 _Ten-GE1/0/2) 之 间 的 ping 报 文 在 经 过 
M9000 转发 时 ,是 否 存 在 丢 包 。 具 体 配置 方法 为 先 创建 两 条 ACL, 分 别 匹 配 正 反方 向 的 
ICMP 报 文 , 然 后 配置 流量 统计 策略 ,应 用 在 内 联 口 上 。 注 意 ,要 对 上 行 / 理 行 方 向 经 过 M9000 
入 /出 的 报 文 分 别 进行 统计 ,这样 不 仅 可 以 判断 防火 墙 是 否 有 丢 包 ,还 可 以 同时 判断 在 哪个 方 
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向 上 存在 丢 包 。 注意 ,ACL 规则 的 配置 必须 精确 ,否则 会 使 统计 策略 匹配 无 关 报 文 ,影响 统计 
结果 和 问题 判断 。 


# 

[H3C] acl number 3001 

[H3C-acl-adv-3001] rule 5 permit icmp source 10.0.0.1 0 destination 172.16.0.1 0 
# 
[H3C] acl number 3002 

[H3C-acl-adv-3002] rule 5 permit icmp source 172.16.0.1 0 destination 10.0.0.1 0 
# 
[H3C] traffic classifier client_to_server 
[H3C-classifier-client_to_server] if-match acl 3001 
# 
[H3C] traffic classifier server_to_client 
[H3C-classifier-server_to_client] if-match acl 3002 
# 
[H3C] traffic behavior ace 
[H3C -behavior-acc] accounting 
# 
[H3C] qos policy c_to_s 

[H3C-qospolicy- c_to_s] classifier client_to_server behavior acc 


[H3C] qos policy s_to_c 

[H3C-qospolicy-s_to_c] classifier server_to_client behavior acc 
# 
[H3C-Ten-GigabitEthernet1/0/1] qos apply policy ¢_to_s inbound enhancement 
[H3C-Ten-GigabitEthernet1/0/1] qos apply policy s_to_c outbound enhancement 
[H3C-Ten-GigabitEthernet1/0/2] qos apply policy s_to_c inbound enhancement 
[H3C-Ten-GigabitEthernetl/0/2] qos apply policy c_to_s outbound enhancement 


流量 统计 策略 配置 完成 后 ,进行 ping 测试 ,然后 查看 统计 结果 。 通 过 对 比 双向 的 报 文 收 
发 统计 ,就 可 以 查看 总 共 发 送 至 M9000 多 少 个 报 文 , 从 M9000 转发 多 少 个 报 文 。 如 果 从 
M9000 接收 的 报 文 个 数 大 于 同方 向 转发 的 报 文 个 数 , 则 说 明 本 设备 确实 出 现 丢 包 情 况 。 如 果 
M9000 本 身 未 丢 包 ,同方 向 接收 报 文 数 与 发 送 报 文 数 相等 ,但 ping 发 起 方 至 ping 响应 方 统计 
到 的 报 文 个 数 少 于 ping 操作 的 报 文 次 数 , 则 可 以 判断 丢 包 是 出 现在 ping 发 起 方 与 M9000 之 
间 的 某 个 位 置 ; 反之 ,车 ping 发 起 方 至 ping 响应 方 统计 到 的 报 文 个 数 等 于 ping 操作 的 报 文 
次 数 ,但 大 于 ping 响应 方 至 ping 发 起 方 统计 到 的 报 文 个 数 , 则 说 明 丢 包 是 出 现在 ping 响应 方 
与 M9000 之 间 的 某 个 位 置 。 

如 示例 所 示 , 从 客户 端 向 服务 器 端 总 共 ping 10 次 ,ping 测试 结果 显示 通 了 9 次 ,1 次 超 
时 。 流 量 统计 策略 结果 显示 ,正方 向 10 个 报 文 全 部 到 达 了 M9000 并 且 转 发 了 10 个 报 文 ; 而 
反方 向 仅 从 连接 服务 器 的 端口 接收 到 9 个 报 文 并 转发 。 该 结果 证 明 , 网 络 中 确实 存在 丢 包 问 
题 ,但 不 是 M9000 引入 的 ; 同时 ,可 以 判断 丢 包 是 发 生 在 服务 器 与 M9000 之 间 的 某 个 位 置 上 。 


<H3C> display qos policy interface Ten-GigabitEthernet 1/0/1 
Interface: Ten-GigabitEthernet1/0/1 


Direction: Inbound 


Policy:c_to_s 
Classifier: client_to_server 
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Operator: AND 
Rule(s) : If-match acl 3001 
Behavior: accounting 
Accounting Enable: 
10 (Packets) 


Direction: Outbound 


Policy:s_to_c 
Classifier: server to _client 
Operator: AND 
Rule(s) : If-match acl 3002 
Behavior: accounting 
Accounting Enable: 
9 (Packets) 


<H3C> display qos policy interface Ten-GigabitEthernet 5/0/1 
Interface: Ten-GigabitEthernet5/0/1 


Direction: Inbound 


Policy:s_to_c 
Classifier: server_to_client 
Operator: AND 
Rule(s) : If-match acl 3002 
Behavior: accounting 
Accounting Enable: 
9 (Packets) 


Direction: Outbound 


Policy:c_to_s 
Classifier: client_to_server 
Operator: AND 
Rule(s) : If-match acl 3001 
Behavior: accounting 
Accounting Enable: 
10 (Packets) 


(2) 排查 其 他 设备 问题 
若 确 认 丢 包 问 题 不 是 由 M9000 引起 ,应 进一步 排查 其 他 设备 问题 。 判 断 丢 包 发 生 的 具体 


位 置 及 方向 仍 可 参考 步骤 (1) 中 提供 的 思路 及 方法 。 当 网 络 中 存在 其 他 支持 流量 统计 策略 的 
设备 时 ,建议 可 采用 分 段 排 查 法 ,逐步 缩小 范围 。 如 果 最 终 定位 丢 包 确 由 非 H3C 品牌 设备 引 
起 ,建议 及 时 联系 相应 的 技术 服务 团队 分 析 处 理 。 


(3) 检查 转发 表 项 
排查 M9000 转发 丢 包 问题 ,首先 要 检查 相关 的 ARP/ 路 由 等 转发 表 项 是 否 正确 。 在 丢 包 


现象 出 现时 ,应 反复 执行 查看 命令 ,以 确认 是 否 存在 表 项 频繁 振荡 。 针 对 转发 表 项 错误 的 ,应 
进一步 对 相应 的 功能 模块 进行 检查 ,排除 错误 信息 。 针 对 转发 表 项 频繁 振荡 的 ,可 以 先 利 用 手 
工 配置 的 静态 表 项 暂时 替代 ,然后 再 进一步 查 明 振 功 原因 ,消除 其 对 转发 的 影响 


命令 : display arp 
display ip routing-table 
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例如 : 通过 命令 检查 M9000 设备 学 习 的 ARP 表 项 及 路 由 表 项 是 否 正确 。 


<H3C>display arp 
Type: S-Static D-Dynamic O-Openflow R-Rule TInvalid 


IP address MAC address VLAN Interface Aging Type 
172.16.20.2 7425-8a76-d42a N/A RAGG2 17 D 
172.16.10.1 0023-8938-2720 N/A RAGGI Ty D 
<H3C> display ip routing-table 

Destinations : 26 Routes : 26 

Destination/Mask Proto Pre Cost vNextHop Interface 
0.0.0.0/0 Static 6 0 172.31.0.1 MGE1/0/0/0 
0.0.0.0/32 Direct ORO 127.0.0.1 InLoop0 
10.255.255.1/32 O INTRA 10 5 172.16.10.1 RAGG1 
10.255.255.2/32 Direct 0 0 127.0.0.1 InLoop0 
10.255.255.3/32 OINTRA 10 2 172.16.20.2 RAGG2 
10.255.255.4/32 O INTRA 10 7 172.16.20.2 RAGG2 


(4) 检查 端口 状态 统计 
检查 M9000 端口 物理 层 、. 链 路 层 状 态 是 否 正常 ,检查 端口 的 速率 `. 双 工 协商 状态 ,注意 同 


时 检查 对 端 接口 的 相关 属性 是 否 与 本 端 协商 一 致 。 检 查 端口 出 方向 队列 是 否 发 生 拥 塞 、 是 否 
出 现 错 包 等 。 若 端口 状态 异常 或 人 方向 错 包 统 计 持续 增加 , 则 应 优先 检查 物理 线路 是 否 存在 
故障 ,建议 通过 替换 法 进行 对 比 测试 。 如 果 物 理 端 口 采用 的 是 光 口 ,还 需要 检查 光 模 块 状态 参 
数 是 否 正 常 ,是 否 与 对 端 一 致 ,同时 注意 检查 光纤 是 否 正 常 。 


MS: display inter face interface-type interface-number 


例如 : 通过 命令 检查 M9000 端口 GigabitEthernet 1/0/1 的 状态 和 统计 信息 。 


<H3C> display interface GigabitEthernet 1/0/1 
GigabitEthernet1/0/1 current state: Up 
Line protocol current state: Up 
Description: GigabitEthernet1/0/1 Interface 
The Maximum Transmit Unit is 1500 
Internet Address is 10.255.255.13/24 Primary 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e280-de8e 
IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e280-de8e 
Media type is twisted pair, loopback not set, promiscuous mode not set 
1000Mb/s, Full-duplex, link type is autonegotiation 
Output flow-control is disabled, input flow-control is disabled 
Output queue : (Urgent queuing : Size/Length/ Discards) 0/100/ 0 
Output queue : (Protocol queuing : Size/Length/ Discards) 0/500/ 0 
Output queue : (FIFO queuing : Size/Length/ Discards) 0/75/ 0 
Last clearing of counters: Never 
Last 300 seconds input rate 43 bytes/sec, 344 bits/sec, 0 packets/sec 
Last 300 seconds output rate21 bytes/sec, 110 bits/sec, 0 packets/sec 
Input: 2375264 packets, 0 jumboes, 151311918 bytes, 2375264 buffers 
272229 broadcasts, 6757 multicasts, 0 pauses 
0 errors, 0 runts, 0 giants 
0 cre, 0 align errors, 0 overruns 
0 dribbles，0 drops, 0 no buffers 
Output:17451 packets, 7045543 bytes, 17451 buffers 
2 broadcasts, 0 multicasts, 0 pauses 
0 errors, 0 underruns, 0 collisions 
0 deferred, 0 drops, 0 lost carriers 
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(5) 检查 CPU/ 内 存 利用 率 

检查 设备 CPU/ 内 存 利 用 率 ,确认 设备 是 否 出 现 业 务 繁 已 。 若 CPU/ 内 存 利用 率 持续 保 
持 在 较 高 水 平 (超过 70%), 可 参考 CPU/ 内 存 利用 率 高 问题 排查 云图 处 理 。 通 常情 况 下 ,与 正 
常 运行 状态 的 设备 相 比 CPU/ 内 存 利 用 率 持续 较 高 ,多 由 异常 攻击 流量 造成 ,因此 在 排查 时 要 
关注 设备 当前 所 接收 到 的 流量 情况 是 否 正常 ,是 否 存 在 并 发 连接 数量 大 、 每 秒 新 建 连接 数量 高 
的 异常 流量 冲击 。 针 对 这 种 情况 ,比较 有 效 的 方法 是 通过 抓 包 等 手段 先 查看 具体 的 异常 流量 ， 
判断 其 来 源 , 然 后 再 通过 黑 名 单 , 域 间 策 略 .攻击 防范 、 路 由 交换 设备 上 的 包 过 滤 策 略 等 手段 屏 
避 该 流量 ; 如果 异常 流量 来 源 自 内 网 ,建议 直接 找 出 并 消除 攻击 源 。 对 于 其 他 非 业 务 流量 引 
起 的 CPU/ 内存 利用 率 高 问题 ,情况 复杂 处 理 困难 的 ,可 以 及 时 记录 信息 并 反馈 。 

命令 : display cpu-usage 


display memory 
例如 : 通过 命令 查看 M9000 的 CPU/ 内 存 利 用 率 。 要 特别 注意 检查 安全 业务 板 的 利用 率 
是 否 过 高 。 
<H3C>display cpu-usage 
Chassis 1 Slot 1 CPU 0 CPU usage: 
2% in last 5 seconds 


2% in last 1 minute 
2% in last 5 minutes 


Chassis 1 Slot 4 CPU 0 CPU usage: 
0% in last 5 seconds 
0% in last 1 minute 
0% in last 5 minutes 


Chassis 1 Slot 7 CPU 0 CPU usage: 
1% in last 5 seconds 
1% in last 1 minute 
1% in last 5 minutes 


Chassis 1 Slot 7 CPU 1 CPU usage: 
0% in last 5 seconds 
0% in last 1 minute 
0% in last 5 minutes 


<H3C>display memory 
The statistics about memory is measured in KB: 
Chassis 1 Slot 1: 


Total Used Free Shared Buffers Cached FreeRatio 
Mem: 984640 368180 616460 0 0 93436 62.6% 
一 /十 Buffers/Cache: 274744 709896 
Swap: 0 0 0 


Chassis 1 Slot 4: 

Total Used Free Shared Buffers Cached FreeRatio 
Mem: 2245296 889112 1356184 0 1148 292984 60.4% 
一 /十 Buffers/Cache: 594980 1650316 
Swap: 0 0 0 
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Chassis 1 Slot 7: 


Total Used Free Shared Buffers Cached FreeRatio 
Mem: 984640 368776 615864 0 0 93436 62.5% 
一 /十 Buffers/Cache: 275340 709300 
Swap: 0 0 0 


Chassis 1 Slot 7 CPU 1: 


Total Used Free Shared Buffers Cached FreeRatio 
Mem: 16375504 2459404 13916100 0 1368 148744 85.0% 
-/+ Buffers/Cache: 2309292 14066212 
Swap: 0 0 0 


(6) 检查 限 速 类 配置 
M9000 设备 支持 端口 限 速 流量 监管 .队列 调度 等 QoS 特性 。 当 设备 上 启用 含有 限 速 特 
性 的 功能 配置 后 , 当 业 务 流量 超过 了 配置 的 限 速 值 时 ,超出 承诺 信息 速率 的 部 分 会 被 设备 丢 
弃 , 所 以 应 当 检 查 业务 流量 大 小 是 否 超 过 了 配置 的 限 速 值 , QoS 策略 统计 是 否 有 丢弃 报 文 计 
MA: display qos lr interface x 
display qos queue inter face x 
display qos car inter face x 
displayqos policy inter face x 
例如 : 在 CLI 界 面 下 ,查看 端口 限 速 统 计 情 况 。 可 以 看 到 统计 结果 显示 已 有 10 个 报 文 因 
CAR 限 速 策略 被 丢弃 。 
<H3C>display qos car interface GigabitEthernet 1/1/0/23 
Interface: GigabitEthernet1/1/0/23 
Direction: outbound 


Rule: If-match any 
CIR 8 (kbps), CBS 1875 (Bytes), EBS 0 (Bytes) 


Green action : pass 
Yellow action : pass 
Red action : discard 


Green packets : 14 (Packets), 20188 (Bytes) 
Yellow packets : 0 (Packets), 0 (Bytes) 
Red packets: 10 (Packets), 14420 (Bytes) 


(7) 检查 会 话 统计 

M9000 从 业务 端口 接收 到 报 文 后 ,会 利用 会 话 表 项 对 该 报 文 是 否 符合 协议 状态 机 、 是 否 
为 域 间 策略 、ASPF 策略 等 进行 一 系列 检查 ,对 检查 不 通过 的 报 文 将 丢弃 处 理 。 在 正常 运行 过 
程 中 ,M9000 会 不 断 地 新 建 会 话 表 项 和 保持 会 话 表 项 ,如 果 在 会 话 表 项 老化 时 间 内 ,始终 没有 
再 接收 到 双向 业务 报 文 时 还 会 主动 删除 该 会 话 表 项 。 在 防火 墙 的 会 话 表 统 计 信息 中 ,网 络 管 
理 员 可 以 查看 到 新 建 会 话 速率 、 当 前 并 发 会 话 总 数 、 接 收报 文 统计 丢弃 报 文 统计 等 。 通 过 将 
新 建 会 话 速率 .并 发 会 话 总 数 与 日 常 运 维 过 程 中 所 观察 记录 的 数据 做 对 比 , 可 以 大 致 判断 设备 
运行 状态 是 否 正常 ,设备 是 否 正在 受到 异常 流量 攻击 并 创建 了 大 量 的 无 效 会 话 等 。 

MA: display session statistics 

display session statistics summary 


例如 : 某 M9000 在 正常 运行 过 程 中 ,管理 员 通 过 命令 观察 到 会 话 统计 信息 如 下 所 示 。 
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2 号 框 7 号 槽 位 防火 墙 业务 板 会 话 表 项 总 数 为 4.7 万 ,其 中 TCP 会 话 13529 个 ,会 话 表 项 新 
建 速率 为 6644/s, 实 际 网 络 业务 运行 正常 。 


CPU 1 on slot 7 in chassis 2: 
Current sessions:47685 


Received TCP 
Received UDP 
Received ICMP 
Received ICMPv6 
Received UDP-Lite 
Received SCTP 
Received DCCP 
Received RAWIP 


< H3C>-4isplay session statistics 


TCP sessions: 13529 
UDP sessions: 32315 
ICMP sessions: 1799 
ICMPv6 sessions: 0 
UDP-Lite sessions: 0 
SCTP sessions: 0 
DCCP sessions: 0 
RAWIP sessions: 42 
Current relation-table entries: 0 
Session establishment rate:6644/s 
TCP: 1596/s 
UDP: 4889/s 
ICMP: 152/s 
ICMPv6: 0/s 
UDP-Lite: 0/s 
SCTP: 0/s 
DCCP: 0/s 
RAWIP 7/s 


74787448 packets 
3846597878 packets 
327487 packets 

0 packets 

0 packets 

0 packets 

0 packets 

35878 packets 


5687988432 bytes 
14787444751 bytes 
4658432 bytes 

0 bytes 

0 bytes 

0 bytes 

0 bytes 

753052 bytes 


在 某 时 间 点 用 户 反 馈 网 络 突然 出 现 丢 包 问 题 ,通过 命令 观察 到 如 下 所 示 的 会 话 统计 信息 。 
其 中 ,会 话 总 数 已 经 激增 到 2000 万 ,其 中 TCP 会 话 超过 1900 万 ,TCP 协议 新 建 会 话 速率 达 
到 26 万 , 远 远 高 于 日 常 观 察 值 。 从 以 上 信息 可 以 初步 判断 ,目前 网 络 中 TCP 协议 流量 存在 异 
常 , 可 能 存在 TCP SYN Flood 攻击 类 流量 。 针 对 这 类 攻击 ,可 以 先 利 用 当前 设备 的 会 话 表 项 
详细 信息 来 分 析 特 点 和 来 源 ,如 果 攻 击 是 来 源 于 网 络 外 部 或 Internet 的 ,一般 通过 启用 攻击 防 
范 手段 来 防御 ,方法 包括 黑 名 单 , 域 间 策略 ,流量 异常 检测 等 ; 如 果 攻 击 是 来 源 于 网 络 内 部 的 ， 


最 好 的 方法 就 是 直接 找到 这 个 


内 部 攻击 源 并 消除 。 


CPU 1 on slot 7 in chassis 2: 
Current sessions:20000313 
TCP sessions: 
UDP sessions: 
ICMP sessions: 
ICMPv6 sessions: 
UDP-Lite sessions: 


<H3C>display session statistics 


19948812 
49865 
1598 

0 

0 
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SCTP sessions: 
DCCP sessions: 
RAWIP sessions: 38 


Current relation-table entries: 0 


Session establishment rate:266628/s 


TCP: 
UDP: 
ICMP: 
ICMPv6: 
UDP-Lite: 
SCTP: 
DCCP: 
RAWIP: 


Received TCP 
Received UDP 
Received ICMP 
Received ICMPv6 
Received UDP-Lite 
Received SCTP 
Received DCCP 
Received RAWIP 


261503/s 
5017/s 
108/s 
0/s 

0/s 

0/s 

0/s 

9/s 


124787448 packets 
4346597228 packets 
567417 packets 

0 packets 

0 packets 

0 packets 

0 packets 

65865 packets 


8687988321 bytes 
19787486751 bytes 
7358852 bytes 

0 bytes 

0 bytes 

0 bytes 

0 bytes 

1553078 bytes 


TER m 6.2.13 M9000 内 存 高 问题 S& wm 
06 安全 产品 6.2 防火 墙 故障 排查 > FRA 


Mgopp 内 存 高 襄 题 故障 HE 


表示 上 一 步 结果 正名 


---y 志 示 上 - 步 结果 出 现 问题 


拨打 热线 


400-310-0504 
ZEE 
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6.2. 13 x... 步骤 详解 
1. 开始 


M9000 内 存 高 问题 故障 排查 的 思路 是 : 首先 判断 是 否 内 存 高 ,如 果 高 的 话 找 出 具体 哪些 
进程 或 者 功能 模块 占用 较 多 资源 ,并 收集 相关 信息 反馈 分 析 。 

2. 流程 图 相关 操作 说 明 

(1) 判断 内 存 情况 

首先 查看 设备 各 横 位 板 卡 内 存 使 用 情况 ,判断 是 否 存 在 某 板 卡 内 存 异常 。 内 存 达到 70% 
以 上 需要 引起 注意 。 

O 分 布 式 设备 一 一 独立 运行 模式 /集中 式 IRF 设备 。 

display memory [ slot slot-number [ cpu cpu-number ] ] 

© 分 布 式 设备 一 一 IRF 模式 。 

display memory [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] 

命令 : display memory 


举例 : slot0 主 控 板 的 内 存 剩余 仅 6.8% ,已 非 正常 情况 。 


<M9000>display memory 
The statistics about memory is measured in KB: 
Chassis 1 Slot 1: 


Total Used Free Shared Buffers Cached FreeRatio 
Mem: 2752152 2565496 186656 0 68 248964 6.8% 
一 /十 Buffers/Cache: 23166464 435688 
Swap: 0 0 0 


(2) 检查 重启 类 型 
当 发 现 内 存 正 常 时 ,有 可 能 设备 之 前 发 生 过 因 内 存 问题 引起 的 重启 。 这 样 也 是 不 正常 的 ， 


可 以 通过 命令 查看 。 一 旦 发 现 内 存 问题 重启 ,也 需要 反馈 收集 的 内 存 信息 、 设 备 诊断 和 
logfile. 


命令 : display version 
举例 : 通过 display version 命令 来 查看 某 个 板 卡 是 否 发 生 重启 ,重启 原因 如 果 是 内 存 问 


题 会 显示 “Memory exhaust”, 


M9000> display version 
H3CComware Software, Version 7.1.054, Release 9115P04 
Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 


LPU Chassis 1 Slot 1: 
Uptime is 2 weeks, 1 day,18 hours,39 minutes 
H3CSecPath M9010 LPU with 1 XLS408 Processor 


BOARD TYPE: NSQ1GP24TXEAO 
DRAM: 1024M bytes 
FLASH: OM bytes 
NVRAM: OK bytes 


PCB 1 Version: VER.B 
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Release Version: 
PatchVersion 
RebootCause 


Bootrom Version: 
CPLD 1 Version: 
CPLD 2 Version: 


511 

003 

002 

H3CSecPath M9010-9115P04 
None 

Memory exhaust 


(3) 检查 具体 内 存 情况 


O 想 要 知道 板 卡 哪个 进程 或 者 模块 占用 较 多 内 存 ,需要 进一步 收集 内 存 态 和 用 户 态 内 存 


信息 。 


MA: display system internal kernel memory pool chassis x slot x( 收 集 指定 板 卡 的 内 核 


态 内 存 池 信息 ) 


[M9000]probe 


Active 

2 19 
0 60 
371 640 
0 0 


768 
2048 
24 
20 
88 
28 


Align Slab Pg/Slab ASlabs 


0 19 4 pi 
0 1 8 0 
0 6 1 9 
0 6 1 0 
4 32 1 0 
0 64 1 0 


[M9000-probe] display system internal kernel memory pool chassis 1 slot 1 
Number Size 


NSlabs Name 


1 sgpool-32 

4 mbuf_db 

10 anon_vma 

0 Lipc_QEntCache 

0 cfq_queue 

0 inotify_event_cache 


MA: display process memory( 收 集 用 户 态 内 存 信息 ,每 个 槽 位 都 是 一 样 的 ) 


JID Text 
| 132 
2 0 
3 0 
4 0 
5 0 


[M9000]display process memory 


Data Stack Dynamic 
696 32 152 
0 0 0 

0 0 0 

0 0 0 

0 0 0 


Name 

scmd 
[kthreadd] 
[migration/0] 
[ksoftirqd/0] 
[watchdog/0] 


MS: display system internal kernel memory pool chassis x slot 


display process memory 

举例 : 收集 内 核 态 内 存 占用 情况 ,其 中 kmalloc-128 占用 了 超过 1GB 内 存 (8907738 x 128= 

1087MB) ,如 图 6-90 所 示 。 
© 如 果 是 内 核 态 内 存 异常 , 则 需 查看 某 内 存 池 的 内 存 明 细 。 

MA: [M9000-probe ]display system internal kernel memory pool name xxx 


举例 : 如 图 6-91 所 示 ,确认 进程 0xf2f0000 消耗 了 大 量 内 存 。 


(4) 检查 重启 类 型 


内 存 不 正常 时 ,也 有 可 能 设备 之 前 发 生 过 因 内 存 问题 引起 的 重启 。 可 以 通过 命令 查看 。 


一 且 发 现 内 存 问题 重启 ,也 需要 反馈 信息 。 内 存 信息 ,设备 诊断 和 logfile 一 并 收集 。 


命令 : display version 
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[GDSZ-PS-ISG04-FW01-probe]dis system internal kernel memory pool chassis 1 slot 0+ 
Active Number „Size Align Slab Pg/Slab ASlabs NSlabs Namev 


7363 7560 208 8 15 8 502 504  kmalloc-2048v 
1416 192 512 | %2 4 62 64 kmalloc-512e: 
8907344 8907738 128 s 4 2 212086..212089 kmalloc-128+» 
3911 4326 32 8 4 1 103 103  kmalloc-32# 
2338 2816 8 8 G 1 43 44 kmalloc-8 
1685 2058 96 8 4 2 49 49 kmalloc-96+ 


7099 7488 168 0 36 2 200 208 ym area structie 
0 9 24 0 531 1 0 0 fasync_cache= 

62 6 46 8 7 8 9 9 kmalloc_dma-4096v 

0 28 406 0 7 8 0 4 mbuf vdb5v 

144 324 48 0 36 1 9 ° ARP_Private. Cachep" 
0 9 32 0 4 1 0 0 ARP_Vlan_Cachep' 


6-90 ”内存 占用 情况 


[GDSZ-PS-ISG04-FW01-probe]dis sys inter kernel mem pool name kmalloc-128» 
Active Number Size Align Slab Pg/Slab ASlabs NSlabs Namev 

8927280 8927562 128 8 4 2 212560__ 212561 kmalloc-128+ 
+ 

Allocation list: 

Tag Number + 

0x6080004 1 + 

Oxf100000 79 + 

0x2300000 394 + 

Oxf2f0000 8925023 + 


图 6-91 内 存 池 内 存 明 细 


举例 : 通过 display version 命令 来 查看 某 个 板 卡 是 否 发 生 重启 ,重启 原因 如 果 是 内 存 问 


题 会 显示 “Memory exhaust”, 


M9000> display version 
H3CComware Software, Version 7.1.054, Release 9115P04 
Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 


LPU Chassis 1 Slot 1: 
Uptime is 2 weeks,1 day,18 hours,39 minutes 
H3CSecPath M9010 LPU with 1 XLS408 Processor 


BOARD TYPE: NSQ1GP24TXEA0 
DRAM: 1024M bytes 
FLASH: 0M bytes 
NVRAM: OK bytes 

PCB 1 Version: VER.B 


Bootrom Version: 511 
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CPLD 1 Version: 003 

CPLD 2 Version: 002 

Release Version: H3CSecPath M9010-9115P04 
PatchVersion : None 


RebootCause  : Memory exhaust 


6.2.14 IPS 防 病毒 功能 故障 排查 > 


PSI Ja $ y Bz tk Fš 排查 
— 下 元 上 - 步 结果 三 昌 


---y 才 示 上 - 步 结果 出 更 襄 是 


查看 引流 


功能 


RE 
功能 配置 为 误 识 别 


拨打 热线 
400-310-0504 
EPES 
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产品 6.2.14 IPS 防 病毒 功能 故障 排查 步骤 详解 


1. 开始 

防 病毒 设备 上 的 防 病毒 业务 以 在 线 方式 运行 于 网 络 主干 上 。 通 过 采用 实时 分 析 , 自 动 
阻截 携带 病毒 的 报 文 与 异常 流量 。 针 对 这 些 异 常 流量 ,通常 施 以 阻截 、 隔 离 或 干扰 的 处 置 ， 
以 预防 病毒 在 网 络 中 传播 。 可 以 通过 配置 策略 实现 实时 分 析 、 检 测 网 络 流量 并 执行 定义 的 
动作 。 

IPS 防 病毒 功能 定位 问题 的 思路 是 : 通过 查看 设备 工作 模式 ,引流 配置 ,确认 设备 二 层 回 
退 状态 ,查看 防 病毒 功能 配置 ,是 否 存在 误 识 别 等 步骤 逐步 排查 ,确认 问题 所 在 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 设备 工作 模式 

通过 登录 IPS 插 卡 ,查看 设备 目前 的 工作 模式 : 直 连 或 者 旁 路 。 如 果 为 旁 路 部 署 , 需 修改 
为 直 连 部 署 。 

例如 : 通过 Web 页 面 查看 IPS 当前 工作 模式 ,如 图 6-92 所 示 。 


加 只 上 报 日 志 OREHA 
管理 口 C gz C em 


i£: SFROWERONMACIEH 


6-92 设备 工作 模式 


通过 Web 页 面 , 可 以 查看 到 连接 模式 处 于 直 连 模式 ,应 用 模式 为 完整 功能 集 , 在 此 情况 
下 ,IPS 防 病毒 功能 才能 生效 。 

(2) 查看 设备 引流 配置 

通过 登录 IPS 搬 卡 ,查看 设备 安全 域 配 置 ,确认 设备 内 部 域 接口 和 外 部 域 接口 选择 无 
错误 。 

例如 : 通过 Web 页 面 查看 ,内 部 域 所 选 端口 为 连接 内 网 端口 ,外 部 域 所 选 端口 为 连接 外 
部 域 端口 ,如 图 6-93 和 图 6-94 所 示 。 


安全 区 场 m > (1-31 字符 ) 


F: 接口 和 VLAN DIRANTE 32。 
paro miego — 
eth0/2 eth03 


图 6-93 设备 引流 配置 (1) 
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6-94 设备 引流 配置 (2) 


由 图 6-93 和 图 6-94 可 以 看 出 内 部 域 端口 定义 为 Eth0/2, 外 部 域 端口 定义 为 Eth0/3。 
查看 IPS 上 段 配置 ,确认 内 部 域 以 及 外 部 域 成 功 关联 ,并 正确 调用 。 
例如 : 通过 IPS 插 卡 的 Web 页 面 ,查看 IPS 持 卡 段 配置 ,如 图 6-95 所 示 o 


外 部 二 ot v Henos 


6-95 IPS EB BL 


如 图 6-95 所 示 ,通过 查看 段 配置 ,确认 内 部 域 为 in, 接口 为 Eth0/2, 外 部 域 为 out ,接口 为 
Eth0/3 ,关联 段 为 0。 

(3) 查看 二 层 回 退 状 态 

查看 IPS 插 卡 二 层 回 退 状态 ,确认 设备 处 在 正常 工作 状态 。 

例如 : 通过 Web 页 面 ,查看 设备 二 层 回 退 状态 ,设备 是 否 使 能 了 二 层 回 退 , 如 图 6-96 所 示 。 
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图 6-96 二 层 回 退 状态 


如 图 6-96 所 示 ,通过 查看 设备 二 层 回 退 状态 ,确认 设备 未 使 能 二 层 回 退 功能 ,当前 设备 处 
于 正常 工作 模式 。 

(4) 查看 引流 功能 

防 病 毒 功 能 要 求 双向 流量 都 经 过 设备 才能 成 功 生 效 。 如 果 是 单 向 流 , 会 导致 防 病毒 不 生 
效 。 因 此 ,首先 要 检查 双向 流量 是 否 引 到 设备 上 。 

“大 概 看 ”。 在 导航 栏 中 单 击 “ 报 表 ” 一 “ 报 文 统计 ”命令 可 以 看 到 单 向 的 实时 报 文 统计 ， 
如 果 段 的 双向 都 有 报 文 统计 ,说 明 双 向 流量 大 概 都 引 到 了 设备 上 ,如 图 6-97 和 图 6-98 所 示 。 

@“ 仔 细 看 ”"。 在 导航 栏 中 单 击 “ 带 宽 管 理 ”>“ 策 略 管理 ”命令 ,新 建筑 略 应 用 ,默认 规则 
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6-97 实时 报 文 分 布 


a x" RER AINE Ban mem - am 

— Iz] TS 

s:t :27 RNAB: 2011-0927 093056 

= 

= 

sd '63byes( 9) 

中 E termest 

| i 
x= 国 国 246511ewostm 
[L Jsi2t02365s0) 

= | ua 

= BNR. 

加 

加 

6-98 实时 报 文 统计 
[TYT] 
o 
w 043 FE š: PRAZNEM 
me [Esas OSN FE i£: 中 文 占 三 人 字符) 
NRTA 图 组 模式 〇 上 用 户 模式 
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图 6-99 检测 流量 应 用 


工作 选择 “permit 十 notify” 选 项 ,通过 带宽 管理 检测 所 有 流量 应 用 。 在 日 志 中 过 滤 出 想 要 的 五 
元 组 日 志 , 可 以 看 到 访问 网 站 的 流量 是 否 双 向 被 检测 到 ,如 果 检测 到 则 说 明 双 向 引流 成 功 ,如 


图 6-99 所 示 。 


(5) 查看 防 病毒 功能 配置 
查看 IPS 防 病毒 功能 配置 ,确认 是 否 开 启 对 应 病毒 检测 规则 。 


例如 : 通过 查看 IPS 的 Web 页 面 , 查 看 防 病 毒 功 能 策略 规则 开启 情况 ,如 图 6-100 所 示 。 
建议 按照 保护 对 象 开启 相应 规则 ,默认 情况 下 有 推荐 开启 规则 ,也 可 以 自行 设 定 全 部 


使 能 。 


此 外 ,还 需 注意 策略 应 用 范围 ,注意 匹配 的 段 和 地 址 范围 是 否 正确 ,如 图 6-101 所 示 。 
同时 ,配置 完毕 后 别 忘 了 激活 。 
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图 6-100 防 病毒 功能 策略 规则 


L om | wa 
图 6-101 策略 应 用 范围 


(6) 判断 是 否 为 误 识别 

防 病 毒 功 能 借助 于 病毒 特征 库 的 不 断 更 新 ,以 识别 新 的 病毒 。 因 此 ,如 果 特 征 库 较 老 , 有 
可 能 存在 误 识别 的 情况 。 

如 果 在 特征 库 最 新 的 情况 下 ,产生 误 识别 (主要 是 正常 流量 被 防 病毒 功能 阻 断 造成 业务 影 
响 ) ,请 收集 以 下 信息 反馈 分 析 。 

收集 方法 如 下 。 

O 配置 测试 IP, 如 本 机 测试 IP 地 址 并 应 用 于 段 策略 中 ,如 图 6-102 和 图 6-103 所 示 。 


ETT 
“名称 test (1-63 字符 注 : 中 文 占 三 个 字符 ) 
协议 @ IPv4 © IPv6 
192 168 1.132 IPv4 地 址 
I 
IP 地 址 列表 L < | 
《最 多 4096 个 ) 
L m | 
IPv4 地 址 
I 
DNPH | <5 | 
(R5256) 
w 
屋 C) WARSA | as J w | 


6-102 ”新建 了 P 地 址 组 
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ARTAS 
段 管理 区 域 匹配 方式 内 部 域 IP 外 部 域 IP 操作 
F 0 内 部 域 ~ IP 地 址 test ”7 AlIP4 ~ FR 


6-103 ”策略 应 用 范围 


© 策略 中 可 疑 规则 动作 配置 为 “ 阻 断 十 记录 日 志 ”, 如 果 不 清楚 是 哪 条 规则 ,在 性 能 允许 
的 情况 下 可 以 全 部 开启 测试 ,如 图 6-104 所 示 。 
保护 对 象 了 类 型 Pr] mes = = 

rE 使 能 YY MERAS = m 

Internet Explorer = Li 阻 断 + 记录 日 志 v m 
sa # v 月 断 + 记 录 日 志 = m 
27 合 能 风电 + 记录 日志 V m 
= rra 阻 电 + 记录 日 志 v S 


6-104 设置 策略 


© 策略 激活 后 ,进行 “问题 "业务 访问 。 测 试 时 ,建议 其 他 功能 关闭 或 者 放 通 ,之 后 导出 防 
病毒 日 志 ,如 图 6-105 所 示 。 


Bona onie zs] 
mun OSVETE 


图 6-105 导出 防 病毒 日 志 
@ 记录 设备 特征 库 版 本 信息 ,如 图 6-106 所 示 。 


类 型 版 本 号 发 布 日 期 
APP 11199 20111110 


6-106 设备 特征 库 版 本 
© 记录 设备 License 信息 ,如 图 6-107 所 示 。 


License 信 息 


APP 2012-03-02 


特性 有 效 日 期 状态 


图 6-107 设备 License 信息 


© 测试 业务 流量 抓 包 收集 ,流量 最 好 不 要 夹杂 其 他 业务 ,尽量 “干净 ”。 
抓 包 文件 生成 后 ,一 并 反馈 总 部 处 理 。 
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产品 6.2.15 IPS 防 攻击 功能 故障 排查 步骤 详解 


1. 开始 

IPS 对 数据 流 进行 重组 和 分 析 ,一旦 和 设备 的 攻击 特征 规则 匹配 ,就 根据 对 应 的 规则 进行 
告警 或 者 阻 断 。 并 且 可 以 根据 保护 对 象 制定 专业 化 的 防护 策略 。 

IPS 防 攻击 定位 故障 的 思路 是 ,通过 查看 设备 工作 模式 ,引流 配置 ,确认 设备 二 层 回 退 状 
态 , 查 看 IPS 防 攻击 具体 配置 等 步骤 逐步 排查 ,确认 问题 所 在 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 设备 工作 模式 

通过 登录 IPS Mi F ,查看 设备 目前 的 工作 模式 : 直 连 或 者 旁 路 。 如 果 为 旁 路 部 署 , 需 修改 
为 直 连 部 署 。 

例如 : 通过 Web 页 面 查看 IPS 当前 工作 模式 ,如 图 6-108 所 示 ,路径 :“ 系 统管 理 一 设备 
管理 一 工作 模式 ”。 


Omt Os# 


O 〇 RR 上报 日 志 加 完整 功能 集 


| 按 原 路 返回 


6-108 工作 模式 


通过 Web 页 面 , 可 以 查看 到 连接 模式 处 于 直 连 模式 ,应 用 模式 为 完整 功能 集 , 在 此 情况 
下 ,IPS 攻击 防范 策略 才能 生效 。 

(2) 查看 引流 配置 

通过 登录 IPS 插 卡 ,查看 设备 安全 域 配置 ,确认 设备 内 部 域 接口 和 外 部 域 接口 选择 无 错误 。 

例如 : 通过 Web 页 面 查看 ,内 部 域 所 选 端口 为 连接 内 网 端口 ,外 部 域 所 选 端口 为 连接 外 
网 端口 ,分别 如 图 6-109 和 图 6-110 所 示 。 
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图 6-109 连接 内 网 端口 


由 图 6-109 和 图 6-110 可 以 看 出 内 部 域 端 口 定义 为 eth0/2 ,外 部 域 端口 定义 为 eth0/3。 
查看 IPS 上 段 配置 ,确认 内 部 域 以 及 外 部 域 成 功 关联 ,并 正确 调用 。 
例如 : 通过 IPS 插 卡 的 Web 页 面 ,查看 IPS 插 卡 段 配 置 ,如 图 6-111 所 示 。 
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6-110 连接 外 网 端口 


6-111 IPS 插 卡 段 配置 


如 图 6-112 所 示 , 通 过 查看 段 配置 ,确认 内 部 域 为 in, 接 口 为 eth0/2, 外 部 域 为 out, 接 口 为 
eth0/3, 关 联 段 为 0。 


(3) 查看 二 层 回 退 状 态 
查看 IPS 插 卡 二 层 回 退 状 态 ,确认 设备 处 在 正常 工作 状态 。 


例如 : 通过 Web 页 面 , 查 看 设备 二 层 回 退 状 态 ,设备 是 否 使 能 了 二 层 回 退 , 如 图 6-112 所 
路 径 :“ 系 统管 理 一 设备 管理 一 高 可 靠 性 一 二 层 回 退 ”。 
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6-112 二 层 回 退 状态 


通过 查看 设备 二 层 回 退 状 态 ,确认 设备 未 使 能 二 层 回 退 功能 ,当前 设备 处 于 正常 工作 模式 。 
(4) 查看 引流 功能 

IPS 防 攻击 功能 要 求 双 向 流量 都 经 过 设备 才能 生效 。 如 果 是 单 向 流 , 会 导致 部 分 或 者 全 
部 IPS 防 攻击 出 现 问题 。 因 此 ,首先 要 检查 双向 流量 是 否 引 到 设备 上 。 

例如 : 在 导航 栏 中 单 击 “ 报 表 ” 一 “ 报 文 统计 ”命令 可 以 看 到 单 向 的 实时 报 文 统计 ,如 果 段 
的 双向 都 有 报 文 统计 ,说 明 双向 流量 大 概 都 引 到 了 设备 上 ,如 图 6-113 和 图 6-114 所 示 。 

(5) 查看 防 攻击 配置 


O 在 导航 栏 中 单 击 “IPS" 一 “策略 管理 ”命令 ,进入 IPS 策略 的 显示 页 面 ,如 图 6-115 
所 示 。 


© 单 击 “ 新 建 策略 应 用 ”按钮 ,进入 新 建 IPS 策略 应 用 的 配置 页 面 ,如 图 6-116 所 示 。 
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6-115 IPS 策略 显示 页 面 
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图 6-116 IPS 策略 应 用 配置 页 面 
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数 进行 修改 。 


© 在 “策略 应 用 范围 ”中 显示 该 策略 的 所 有 应 用 范围 ,可 以 直接 在 列表 中 对 应 用 范围 的 参 
围 进行 配置 ,如 图 6-117 所 示 。 


og 


D 单 击 “ 新 建 "按钮 ,列表 中 将 新 增 一 条 应 用 范围 表 项 ,可 以 直接 在 列表 中 对 策略 应 用 范 
三 RE 


-请 选择 一 
== [>= =l 


An Pw 


Mai 
ve [apa 


m 


6-117 ”新建 应 用 范围 表 项 


© 单 击 辐 图 标 ,弹出 相应 表 项 的 高 级 配置 页 面 ,如 图 6-118 所 示 , 可 以 对 策略 应 用 范 目 
行 高 级 配置 (可 以 配置 多 个 内 /外 部 域 IP 地 址 组 )。 


0 
方向 


` 


B| JE: 
内 部 域 : IN 。 外 部 域 : OUT 
Orsz Oxa 图 外 部 到 内 部 
内 部 域 IP 


IP 地 址 组 《最 多 8 个 ) 


外 部 域 IP 
[ANNIPw AP 


人 P 地 址 组 〈 最 和 8 个 》 
` Ai Pat T> ` | 
[ < | we | < || es 
[L me J ma | 
图 6-118 高 级 配置 页 面 
© 例如 : 通过 查看 IPS 的 Web 页 面 ,查看 IPS 防 攻击 策略 调用 地 址 情况 ,如 图 6-119 所 示 。 
每 页 |25 v = 总 共 2 条 
n 8 策略 名 称 方向 内 部 域 IP 外 部 域 IP 操作 
D ja test wa AllPv4 All IPv4 IR 
ü Z stack Pol. Ea 
Ce] pr 
图 6-119 IPS 防 攻击 策略 调用 地 址 
© 然后 激活 策略 。 
(6) 判断 是 否 为 误 识 别 


所 示 。 


O 单 击 “ 规 则 管理 ”选项 ,选择 所 配置 的 策略 ,查询 出 所 有 的 规则 并 选中 所 有 规则 ,如 图 6-120 


aas j= Saung nam 1-25% 首页 H-A T-A EZ maal y] 
a| kio £w 22 sa ni srie amar 动作 We s 
团 ”15049200 phpBB search php SOL ARER) wanwa ga Bu wenu Pi mex ë fiire mi A 
A 150996061 wepo TERITERMEEEA — winerabil 8 su mex memas mE y 
6-120 ”规则 管理 
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© 单 击 “ 修 改 查 询 出 的 所 有 规则 ”选项 ,选择 “允许 十 记录 日 志 十 Packet Trace” 选 项 , 单 击 
“修改 动作 ”按钮 ,然后 单 击 “ 激 活 ” 按 钮 ,如 图 6-121 所 示 。 


请 迁 择 要 修改 的 范围 C 修改 本 页 丢 中 规则 
ET 


6-121 修改 规则 


© 策略 激活 后 ,进行 误 识别 的 业务 访问 ,导出 攻击 日 志 , 并 下 载 日 志 中 的 Packet 文件 ,如 
图 6-122 所 示 。 


攻击 日 志 查询 
RARER 攻击 级 别 全 部 v 
ran [= TOE [ED 
R ELM 方向 任意 hd 
源 IP 目的 IPP 
WRO 目的 端口 
开始 时 间 图 ARA a 
保护 对 象 ”| 全 部 [vjes v 
[ suacsv[| | m | 


6-122 导出 日 志 


@ 记录 设备 特征 库 版 本 信息 ,如 图 6-123 所 示 。 


20141202 
20141203 


图 6-123 设备 特征 库 版 本 
© 记录 设备 License 信息 ,如 图 6-124 所 示 。 


License 信 息 


6-124 设备 License 信息 


@ 记录 误 识别 应 用 ,包括 具体 的 版 本 号 。 
记录 输出 后 ,一 并 反馈 总 部 处 理 。 


Mow cpu% É] £ 高 故 É +E £ 


> A+ - i Y ES 


EEN 表示 上 一 步 结果 出 现 襄 题 


收 焦 进 程 
详细 信息 
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== IJ EE 6.2.16 M9000 CPU 利用 率 A 


1. 开始 

M9000 CPU 利用 率 高 问题 定位 故障 的 思路 是 : 首先 检查 设备 CPU 利用 率 数 值 是 否 正 
常 , 由 于 M9000 基于 全 分 布 式 硬件 架构 设计 , 主 控 板 、 接 口 板 、 交 换 网 板 、 安 全 业务 板 均 有 各 自 
的 CPU, 因 此 要 先 确认 具体 是 哪 一 块 单 板 的 CPU 利用 率 出 现 偏 高 ; 然后 检查 当前 整 机 会 话 
数 统计 值 ,是否 与 日 常 运 维 观 察 的 正常 业务 运行 时 统计 值 相符 。 如 果 M9000 当前 的 会 话 新 建 
连接 速率 和 并 发 连接 数 统计 值 正常 ,应 进一步 查找 引起 相应 槽 位 CPU 利用 率 高 的 进程 ,并 收 
集 相关 信息 后 反馈 ; 如 果 M9000 当前 的 会 话 新 建 连接 速率 和 并 发 连接 数 统计 值 远 远大 于 日 
常 运 维 观察 的 数值 , 则 说 明 当 前 M9000 上 很 可 能 存在 某 种 异常 流量 ,建议 先 根据 端口 统计 数 
据 查 找 异 常 流量 的 接收 端口 ,再 根据 会 话 表 信息 判断 异常 流量 的 具体 特征 ,溯源 并 消除 ,最 终 
恢复 M9000 的 CPU 使 用 情况 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 CPU 利用 率 

通过 命令 查看 M9000 各 单 板 CPU 利用 率 统计 数据 。 可 查询 的 单 板 主 要 有 主 控 板 、 交 换 
网 板 、 接 口 板 、 安 全 业务 板 等 几 类 。 每 个 安全 业务 板 ( 目 前 仅 防火 墙 业务 板 一 种 ) 包 含 两 个 
CPU ,CPU 0 对 应 后 插 板 的 控制 平面 CPU ,与 接口 板 CPU 的 功能 基本 一 致 ; CPU 1 对 应 前 插 
板 的 数据 平面 CPU ,主要 实现 安全 业务 处 理 .数据 转发 等 功能 。 除 安全 业务 板 以 外 ,其 他 单 板 
均 只 含有 一 个 CPU。 当 设备 无 业务 负载 时 ,通常 主 控 板 CPU 利用 率 维持 在 5% 左 右 , 交 换 网 
板 CPU 利用 率 维持 在 10% 左 右 ,其 余 各 CPU 利用 率 数据 一 般 在 5% 以 下 。 

实际 运 维 过 程 中 ,设备 CPU 利用 率 一 般 会 通过 网 管 系统 实时 监控 , 若 发 现 M9000 某 
CPU 利用 率 持 续 偏 高 ,远大 于 系统 监控 告警 阔 值 ,应 注意 先 检查 具体 是 哪个 CPU 利用 率 出 现 
过 高 的 现象 。 若 检查 确认 是 安全 业务 板 CPU 1 利用 率 高 ,多 数 情况 是 由 于 M9000 接收 到 了 
较 大 的 业务 流量 或 其 他 异常 流量 造成 , 若 检查 确认 是 其 余 CPU 出 现 利 用 率 高 , 则 可 能 是 其 他 
原因 造成 ,需要 进一步 排查 分 析 。 

命令 : display cpu-usage 

例如 : 通过 命令 查看 M9000 各 CPU 利用 率 情况 ,其 中 1 号 框 7 号 槽 位 防火 墙 业 务 板 
CPU 1 利用 率 达 到 了 87% 左 右 , 这 个 数值 也 是 安全 业务 板 CPU 1 在 实际 运行 过 程 中 可 能 达 
到 的 最 大 数值 ,因此 可 以 断定 当前 1 号 框 7 号 槽 位 防火 墙 业 务 板 性 能 压力 非常 大 ,具体 原因 很 
可 能 是 较 大 的 业务 流量 或 其 他 异常 流量 导致 , 须 立即 进一步 排查 分 析 。 
<H3C>display cpu-usage 
Chassis 1 Slot 1 CPU 0 CPU usage: 

2% in last 5 seconds 


2% in last 1 minute 
2% in last 5 minutes 


Chassis 1 Slot 4 CPU 0 CPU usage: 
6% in last 5 seconds 
5% in last 1 minute 
6% in last 5 minutes 
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Chassis 1 Slot 7 CPU 0 CPU usage: 
1% in last 5 seconds 
1% in last 1 minute 
1% in last 5 minutes 


Chassis 1 Slot 7 CPU 1 CPU usage: 
87% in last 5 seconds 
87% in last 1 minute 
86% in last 5 minutes 


Chassis 1 Slot 10 CPU 0 CPU usage: 
10% in last 5 seconds 
10% in last 1 minute 
10% in last 5 minutes 


Chassis 1 Slot 11 CPU 0 CPU usage: 
9% in last 5 seconds 
10% in last 1 minute 
10% in last 5 minutes 


Chassis 1 Slot 12 CPU 0 CPU usage: 
10% in last 5 seconds 
10% in last 1 minute 
10% in last 5 minutes 


Chassis 1 Slot 13 CPU 0 CPU usage: 
9% in last 5 seconds 
10% in last 1 minute 
10% in last 5 minutes 


(2) 查看 会 话 统计 

M9000 在 线 运行 过 程 中 ,如 果 其 接收 的 流量 在 短 时 间 内 创建 大 量 会 话 ,势必 会 极 大 地 消 
耗 主 控 板 和 安全 业务 板 的 CPU 资源 ,因此 需 在 问题 现象 发 生 时 ,检查 主 控 板 及 安全 业务 板 的 
会 话 统计 信息 是 否 存在 异常 。 如 果 会 话 统计 信息 中 的 会 话 数 、 会 话 新 建 速率 等 与 日 常 运 维 观 
察 值 相 比 增加 很 多 ,甚至 达到 了 设备 软件 规格 值 , 则 可 以 判定 CPU 利用 率 高 问题 便 是 由 此 引 
起 ,可 通过 进一步 查看 会 话 表 项 明细 或 抓 包 等 方法 确认 异常 流量 的 具体 情况 。 如 果 会 话 统计 
信息 中 的 各 项 数值 与 日 常 运 维 值 相差 不 大 , 则 应 进一步 检查 具体 是 哪个 CPU 进程 引起 利用 

命令 : display session statistics summary 

例如 : 通过 命令 查看 M9000 会 话 统计 信息 ,命令 回 显 数据 将 包括 所 有 的 主 控 板 和 安全 业 
务 板 数据 .“Session" 列 对 应 当前 业务 流量 在 相应 槽 位 单 板 上 创建 的 总 的 会 话 数 ，“Rate” 列 对 
应 相应 的 新 建 会 话 速 率 。 从 本 例 中 不 难看 出 ,M9000 1 号 框 7 号 槽 位 防火 墙 业务 板 当 前 并 发 
连接 数 已 经 超过 1300 万 ,每 秒 TCP 会 话 新 建 连接 速率 超过 17 万 , 远 高 于 日 常 值 ,可 以 判定 当 
前 M9000 正 受 到 TCP 泛 洪 异常 流量 影响 。 


<H3C>display session statistics summary 

Chassis Slot CPU Sessions TCP UDP Rate TCP rate UDP rate 
1 4 0 2 2 0 0/s 0/s 0/s 

1 q | 13547855 13543080 4775 175520/s 175242/s 278/s 

2 4 ó 0 0 0 0/s 0/s 0/s 

2 wa o 0 0 0/s 0/s 0/s 
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(3) 查看 CPU 进程 

检查 出 现 利用 率 高 的 CPU 运行 进程 情况 , 先 查 找 具体 是 哪个 进程 占用 了 较 多 的 CPU W 
源 , 再 对 相应 的 软件 模块 进行 排查 。 例 如 , 若 系 统 日 志 进 程 占用 CPU 较 多 , 则 应 进一步 排查 
是 否 设备 在 问题 发 生 时 产生 了 过 多 的 日 志 信息 或 其 他 异常 情况 ; 若 Telnet 进程 占用 CPU 较 
多 , 则 应 进一步 排查 是 否 设 备 接受 了 过 多 的 Telnet 远程 连接 请 求 或 其 他 异常 情况 。 表 6-1 是 
M9000 部 分 常见 进程 与 各 软件 功能 特性 的 对 应 关系 ,通过 对 照 确认 占用 CPU 多 的 是 哪个 进 
程 后 , 即 可 重点 对 相应 的 功能 特性 进行 排查 。 


表 6-1 M9000 部 分 常见 进程 与 各 软件 功能 特性 对 应 表 


diagd 设备 监控 管理 

fsd/dfsd 文件 系统 管理 

had 双 机 热 备 管理 与 维护 

syslogd 维护 日 志 管 理 

pdtpowfanmanage 系统 风扇 管理 

mdcd Context 虚拟 设备 管理 与 维护 
ifmgr 设备 接口 管理 

sysmand 设备 基本 配置 文件 管理 

edev 设备 硬件 资源 管理 

lauthd 本 地 认证 ,负责 接收 发 送 认证 报 文 
aaad AAA 子 系统 

laggd 链 路 聚合 管理 

tranged Timerange 功能 模块 

vland VLAN 功能 模块 

aclmgrd ACL 功能 模块 

routed IPv4 路 由 管理 

usrd 静态 路 由 管理 

qosd QoS 管理 

bftpd 分 布 式 文件 系统 管理 

lods 接口 板 软件 版 本 加 载 服务 器 
telnetd Telnet 服务 

login 用 户 认证 管理 ,认证 通过 后 启动 comsh 
comsh 命令 行 解析 服务 

oapd OAP 服务 

coppd 控制 平面 协议 报 文 上 送 速率 限制 服务 
ttymgrd TTY 管理 

licd LICENSE 管理 

tunneld Tunnel 接口 管理 模块 

rtermcond 远程 终端 接 入 

portald Portal 服务 

portalproxyd Portal Proxy 服务 

atkd uRPF 等 功能 

sessiond 会 话 管理 、 连 接 数 限制 .状态 防火 墙 等 功能 
aprd APR 应 用 层 协 议 识 别 功能 

objpd 域 间 对 象 策略 

macsecd MACsec 功能 
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续 表 
portsecd 端口 安全 、dotl1x、MAC 地 址 认证 功能 
natd NAT 网 络 地 址 转换 服务 
ipsecd IPSec 服务 
iked IKE 服务 


MA: display process cpu chassis x slot x cpu x 

例如 : 通过 命令 查看 M9000 1 号 框 4 FRERE HEE CPU 利用 率 情况 ,可 以 看 到 路 
由 管理 进程 始终 占用 了 大 量 的 CPU 资源 ,说 明 M9000 的 路 由 表 维 护 部 分 可 能 存在 异常 , 须 进 
一 步 排查 是 否 学 习 到 了 大 量 的 路 由 条 目 且 持续 震荡 等 问题 。 


< H3C>4isplay process cpu chassis 1 slot 4 cpu 0 

CPU utilization in 5 secs:70.7%; 1 min: 68.5%; 5 mins: 69.4% 
429 0.0% 0.0% 0.0% telnetd 
430 0.0% 0.0% 0.0% dnsd 
516 0.0% 0.0% 0.0% natd 
570 0.0% 0.0% 0.0% ipstackd 
571 0.0% 0.0% 0.0% [karp/1] 
572 0.0% 0.0% 0.0% [kwadj/1] 
573 0.0% 0.0% 0.0% [kfib/1] 
578 57.0% 55.2% 56.7% routed 
582 0.0% 0.0% 0.0% usrd 
593 0.0% 0.0% 0.0% seczoned 
639 0.0% 0.0% 0.0% objpd 
690 0.0% 0.0% 0.0% telnetd 
792 0.0% 0.0% 0.0% atkd 
1464 0.0% 0.0% 0.0% sessiond 
1596 0.0% 0.0% 0.0% [krpc_recv] 
1597 0.0% 0.0% 0.0% [krpc_recv] 
1627 0.0% 0.0% 0.0% [krpc_recv] 
1629 0.0% 0.0% 0.0% [krpc_recv] 
1631 0.0% 0.0% 0.0% [krpc_recv] 
1636 0.0% 0.0% 0.0% [krpc_recv] 
1637 0.0% 0.0% 0.0% [krpc_recv] 
1648 0.0% 0.0% 0.0% [krpc_recv] 
1653 0.0% 0.0% 0.0% [krpc_recv] 
1745 0.0% 0.0% 0.0% trackd 
2263 0.0% 0.0% 0.0% [krpc_recv] 
2507 0.0% 0.0% 0.0% snmpd 
2765 0.0% 0.0% 0.0% telnetd 
2766 0.0% 0.0% 0.0% login 
2768 0.0% 0.0% 0.0% comshc 
2769 0.0% 0.0% 0.0% comsh 
2884 0.0% 0.0% 0.0% telnetd 
2885 0.0% 0.0% 0.0% login 
2887 0.0% 0.0% 0.0% comshec 
2888 0.0% 0.0% 0.0% comsh 
3042 0.0% 0.0% 0.0% getty 
3043 0.0% 0.0% 0.0% login 
3045 0.0% 0.0% 0.0% comshc 
3046 0.0% 0.0% 0.0% comsh 
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(4) 收集 进程 详细 信息 
如 果 工 程 师 无 法 根据 前 述 方法 排除 现场 问题 ,可 在 CPU 利用 高 问题 发 生 时 ,即时 收集 记 
录 CPU 进程 相关 详细 信息 并 反馈 技术 支持 中 心 协助 处 理 。 
MA: display process cpu chassis x slot x cpu x 
display processjob x chassis x slot x cpu x 
follow job x 
例如 : 以 “scemd” 进 程 为 例 , 收 集 相关 详细 信息 。 
O 查看 “semd” 进 程 对 应 的 任务 ID(JID)。 


<H3C>display process cpu chassis 1 slot 4 cpu 0 
CPU utilization in 5 secs: 0.6%; 1 min: 0.5%; 5 mins: 0.5% 
JID 5Sec 1Min 5Min Name 
1 0.0% 0.0% 0.0% scmd 
2 0.0% 0.0% 0.0% [kthreadd] 
3 0.0% 0.0% 0.0% [migration/0] 
4 0.0% 0.0% 0.0% [ksoftirqd/0] 
5 0.0% 0.0% 0.0% [watchdog/0] 
6 0.0% 0.0% 0.0% [migration/1] 
7 0.0% 0.0% 0.0% [ksoftirqd/1] 
8 0.0% 0.0% 0.0% [watchdog/1] 
9 0.0% 0.0% 0.0% [migration/2] 
10 0.0% 0.0% 0.0% [ksoftirqgd/2] 
11 0.0% 0.0% 0.0% [watchdog/2] 
12 0.0% 0.0% 0.0% [migration/ 3] 
13 0.0% 0.0% 0.0% [ksoftirqd/3] 
14 0.0% 0.0% 0.0% [watchdog/3] 
15 0.0% 0.0% 0.0% [migration/4] 
16 0.0% 0.0% 0.0% [ksoftirqd/4] 
17 0.0% 0.0% 0.0% [watchdog/4] 
18 0.0% 0.0% 0.0% [migration/5] 
19 0.0% 0.0% 0.0% [ksoftirqd/ 5 
20 0.0% 0.0% 0.0% [watchdog/5] 
21 0.0% 0.0% 0.0% [migration/6] 
22 0.0% 0.0% 0.0% [ksoftirqd/6] 
23 0.0% 0.0% 0.0% [watchdog/6] 
24 0.0% 0.0% 0.0% [migration/7] 
25 0.0% 0.0% 0.0% [ksoftirqad/7] 
26 0.0% 0.0% 0.0% [watchdog/7] 
27 0.0% 0.0% 0.0% [migration/8] 
28 0.0% 0.0% 0.0% [ksoftirqd/8] 
29 0.0% 0.0% 0.0% [watchdog/8] 
30 0.0% 0.0% 0.0% [migration/9] 
31 0.0% 0.0% 0.0% [ksoftirqd/9] 
@ 根据 任务 ID 查看 进程 摘要 信息 。 
<H3C>display process job 1 chassis 1 slot 4 cpu 0 
Job ID: 1 
PD: 1 
Parent JID: 0 
Parent PID: 0 
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Executable path : /sbin/scmd 
Instance: 0 
Respawn : OFF 
Respawn count: 1 
Max. spawns per minute: 0 
Last started: Tue Mar 3 06:35:01 2015 
Process state : sleeping 
Max. core: 0 
ARGS: - 
TID LAST_CPU Stack PRI State HH:MM:SS:MESC Name 
1 9 84K 120 S: 0:0:5:680 scmd 


@ 根据 任务 ID 查看 进程 详细 信息 。 


<H3C>system-view 

System View: return to User View with Ctrl 十 Z. 
[H3C] probe 

CH3C-probe] follow job 1 

Attaching to process 1 (scmd) 

Iteration 1 of 5 

Thread (LWP 1): 

Switch counts: 20668 

User stack: 

#0 0x0000005555757de4 in epoll_wait 十 0xlc/0x4c 
#1 0x000000012001bedc in ?? 

Kernel stack: 

[一 ffffffff8049da24 二 ] schedule+ 0x6c4/0xfe0 

[一 ffffffff8049e5e8 二 ] schedule_timeout 十 0x98/0xe0 
[< tfffffff80310894>] sys_epoll_wait -0x4d4/0x5a0 
[< tfffffff80202f44>] stack_done_ra+0x0/0xlc 


Iteration 2 of 5 


将 收集 的 上 述 信息 ,连同 M9000 诊断 信息 logfile 日 志文 件 一 起 反馈 至 技术 支持 中 心 。 

(5) 检查 接口 流量 

如 果 M9000 的 会 话 统计 数据 远大 于 日 常 运 维 观察 值 ,应 注意 检查 各 业务 端口 接收 流量 是 
否 合理 ,符合 日 常 业 务 流量 值 大 小 。 若 某 个 端口 接收 到 的 流量 值 特别 大 , 远 超出 日 常 水 平 , 则 
很 可 能 是 网 络 中 存在 临时 性 的 泛 洪 异常 流量 。 若 M9000 直 联 服务 器 或 PC 机 , 则 应 当 重 点 排 
查 该 端口 下 联 服务 器 或 PC 是 否 感染 病毒 ,是 否 有 异常 程序 造成 其 向 网 络 中 大 量 发 送 报 文 ; 若 
该 端口 与 其 他 网 络 设备 互联 , 则 应 “ 顺 芯 摸 瓜 ”, 进 一 步 向 异常 泛 洪流 量 的 来 源 方向 排查 ,直至 
查找 到 流量 的 源头 。 异 常 泛 洪流 量 来 自 内 部 网 络 的 ,建议 尽快 查找 到 流量 源头 并 通过 下 线 , 修 
复 异 常 程序 等 方式 消除 其 对 网 络 的 影响 ; 异常 泛 洪 流量 来 自 Internet 的 ,可 以 尝试 配置 
M9000 的 攻击 防范 策略 进行 防御 ,或 联系 ISP 寻求 更 好 的 解决 方案 。 

MS: display interface GigabitEhernet x 

例如 : 通过 命令 查看 接口 流量 ,管理 员 发 现 M9000 某 端 口 人 方向 流量 非常 大 ,已 经 达到 
限 速 值 ,而 出 方向 流量 非常 少 , 与 业务 系统 管理 员 核 实 后 确认 该 端口 下 联 服务 器 正常 情况 下 不 
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会 产生 如 此 大 的 流量 ,因此 判断 该 流量 是 异常 的 非 业 务 流量 , 需 进 一 步 溯源 并 消除 。 


<H3C>display interface GigabitEthernet 1/1/0/23 
GigabitEthernet1/1/0/23 
Current state: Up 
Line protocol state: Up 
Description: GigabitEthernet1/1/0/23 Interface 
Bandwidth: 1000000kbps 
Maximum Transmit Unit: 1500 
Internet protocol processing: disabled 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 5cdd-70a3-1f7e 
IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 5cdd-70a3-1f7e 
Media type is twisted pair 
Port hardware type is 1000_BASE_T 
Output queue - Urgent queuing: Size/ Length/Discards 0/100/0 
Output queue - Protocol queuing: Size/Length/Discards 0/500/0 
Output queue - FIFO queuing: Size/Length/Discards 0/75/0 
1000Mbps-speed mode, full-duplex mode 
Link speed type is autonegotiation, link duplex type is autonegotiation 
Flow-control is not enabled 
The Maximum Frame Length is 9216 
Last clearing of counters: Never 
Peak value of input: 125001087 bytes/sec, at 2015-03-18 02:36:54 
Peak value of output:4896 bytes/sec, at 2015-03-10 02:22:48 
Last 300 seconds input: 244144 packets/sec 124799898 bytes/sec 100% 
Last 300 seconds output:3 packets/sec 1280 bytes/sec 0% 
Input (total) :471140274174 packets, 68645751777 bytes 
471138069533 unicasts, 228819 broadcasts, 1975822 multicasts, 0 pauses 
Input (normal) :471140274174 packets, - bytes 
471138069533 unicasts, 228819 broadcasts, 1975822 multicasts, 0 pauses 
Input: 0 input errors, 0 runts, 0 giants，0 throttles 
0 CRC, 0 frame, - overruns, 0 aborts 
- ignored, - parity errors 
Output (total) :1788789 packets, 12874475 bytes 
1786559 unicasts, 485 broadcasts, 1745 multicasts, 0 pauses 
Output (normal) :1788789 packets, - bytes 
1786559 unicasts, 485 broadcasts, 1745 multicasts, 0 pauses 
Output: 0 output errors, - underruns, - buffer failures 
0 aborts, 0 deferred, 0 collisions, 0 late collisions 
0 lost carrier, - no carrier 


(6) 检查 异常 流量 并 进行 控制 

除 直 接 对 异常 流量 镜像 抓 包 分 析 外 ,可 以 通过 查看 M9000 会 话 表 项 信息 来 分 析 异 常 流量 
的 特点 ,以 便 实施 相应 的 防御 措施 。 如 果 异 常 流量 创建 的 会 话 表 项 目的 地 址 、 目 的 端口 都 相 
同 , 则 可 以 通过 配置 域 间 策略 或 DoS 攻击 防范 策略 阻 断 ; 如 果 异 常 流量 创建 的 会 话 表 项 源 IP 
也 址 均 为 随机 公 网 IP 且 发 起 方 处 于 内 部 私 网 IP 区 域 中 , 则 可 以 通过 在 内 网 端口 配置 URPF 
策略 阻 断 。 总 之 ,通过 打印 出 一 定数 量 的 会 话 表 项 详细 信息 ,管理 员 即 可 从 中 发 现 异常 流量 在 
4 层 及 4 层 以 下 报 文 头 部 信息 中 的 规律 ,并 根据 这 个 规律 ,合理 配置 M9000 各 项 功能 特性 ,最 
终 实 现 将 异常 流量 丢弃 , 且 保 证 正常 业务 流转 发 的 目的 。 如 果 异 常 流量 来 源 于 内 部 网 络 , 更 好 
的 建议 是 直接 排查 出 异常 流量 源头 并 消除 。 


命令 : display session table ipv4 verbose 


display session table ipu6 verbose 
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例如 : 通过 命令 打印 约 100 条 M9000 当前 会 话 表 项 信息 ,其 中 约 70 条 会 话 表 项 均 为 如 
下 形式 (列举 两 个 会 话 表 项 ) ,不 难看 出 源 IP 地 址 为 172. 31. 0. 1 的 主机 向 M9000 发 起 了 大 量 
的 TCP 连接 请 求 和 大 量 的 TCP SYN 报 文 ,这 种 异常 流量 属于 典型 的 SYN Flood 泛 洪 攻 击 ， 
管理 员 可 以 先 对 源 主机 操作 系统 及 程序 进行 检查 ,条 件 允 许 时 可 暂时 将 源 主机 离线 以 观察 网 
络 状态 是 否 恢复 ; 也 可 通过 在 M9000 上 配置 域 间 策略 、 黑 名 单 或 攻击 防范 策略 等 措施 阻 断 异 
常 流量 , 减 小 其 对 其 他 网 络 设备 及 业务 的 影响 。 


=<H3C> display session table ipv4 verbose 
Slot 4 in chassis 1: 
Initiator: 
Source IP/port: 172.31.0.1/8709 
Destination IP/port: 172.31.0.18/23 
DS-Lite tunnel peer: - 
VPN instance/ VLAN ID/VLL ID: -/-/- 
Protocol: TCP(6) 
Inbound interface: M-GigabitEthernet1/0/0/0 
Source security zone: management 
Responder: 
Source IP/port: 172.31.0.18/23 
Destination IP/port: 172.31.0.1/8709 
DS-Lite tunnel peer: - 
VPN instance/ VLAN ID/VLL ID: -/-/- 
Protocol: TCP(6) 
Inbound interface: InLoopBack0 
Source security zone: Local 
State: TCP_SYN 
Application: TELNET 
Start time: 2015-03-18 02:33:03 TTL:29s 


Initiator-> Responder: 1122 packets 71808 bytes 
Responder-> Initiator : 0 packets 0 bytes 
Initiator: 

Source IP/port: 172.31 .0. 1/8710 


Destination IP/port: 172.31.0.18/23 
DS-Lite tunnel peer: - 
VPN instance/ VLAN ID/VLL ID: -/-/- 
Protocol: TCP(6) 
Inbound interface: M-GigabitEthernet1/0/0/0 
Source security zone: management 
Responder: 
Source IP/port: 172.31.0.18/23 
Destination IP/port: 172.31.0.1/8710 
DS-Lite tunnel peer: - 
VPN instance/ VLAN ID/VLL ID: -/-/- 
Protocol: TCP(6) 
Inbound interface: InLoopBack0 
Source security zone: Local 
State: TCP_SYN 
Application: TELNET 
Start time: 2015-03-18 02:33:03 TTL:29s 
Initiator-— Responder: 1118 packets 71552 bytes 
Responder-> Initiator : 0 packets 0 bytes 
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6.2 防火 墙 6.2.17 M9000 NAT 功能 故障 排查 步骤 详解 
1. 开始 


NAT 是 M9000 最 主要 的 功能 之 一 ,M9000 的 会 话 记 录 了 NAT 转换 的 所 有 信息 ,排查 


NAT 的 问题 时 要 结合 会 话 查看 。M9000 的 NAT 问题 定位 故障 的 思路 是 : 先 查看 设备 上 是 
否 有 会 话 , 如 果 没 有 会 话 先 判 断 设备 是 否 收 到 报 文 , 然 后 依次 检查 设备 NAT 域 间 策 略 和 路 由 
等 相关 配置 ,确认 报 文 转发 路 径 正 确 且 没 有 被 过 滤 ; 如 果 设备 上 有 会 话 ,就 检查 NAT 前 后 的 
地 址 是 否 正 确 , 收 发 报 文 是 否 正常 ,如 果 收 发 报 文 不 正常 需要 根据 会 话 报 文 统计 情况 进一步 排 
查 内 外 网 路 由 。 


2. 流程 图 相关 操作 说 明 
(1) 查看 是 否 有 相关 会 话 
要 想 确 认 设备 是 否 进行 了 正常 的 NAT 转换 ,最 直接 的 方法 就 是 查看 设备 的 会 话 信息 , 通 


过 详细 的 会 话 信息 ,查看 设备 是 否 进行 了 正确 的 转换 工作 。 


命令 : display session table ipv4 source-ip x. x. 7. 7 destination-ip z. z. x.x verbose 


例如 : 通过 命令 可 以 看 到 源 为 192. 168. 5. 1 的 数据 报 文 经 过 M9000 进行 NAT 转换 后 地 


址 变 成 了 60. 191. 66. 139 , 报 文 收发 也 正常 。 


<H3C>display session table ipv4 source-ip 192.168.5.1 destination-ip 60.170.255.12 verbose 
Slot 4 in chassis 1: 
Initiator: 
Source IP/port: 192.168.5.1/2 
Destination IP/port:60.170.255. 12/2048 
DS-Lite tunnel peer: - 
VPN instance/ VLAN ID/VLL ID: -/-/- 
Protocol: ICMP(1) 
Inbound interface:GigabitEthernet 1/1/0/1 
Source security zone: Trust 
Responder: 
Source IP/port:60.170.255.12/2 
Destination IP/port: 60.191.66.139/0 
DS-Lite tunnel peer: - 
VPN instance/ VLAN ID/VLL ID: -/-/- 
Protocol: ICMP(1) 
Inbound interface: GigabitEthernet 1/1/0/23 
Source security zone: Untrust 
State: ICMP_REPLY 
Application: OTHER 
Start time: 2015-05-07 08:15:13 TTL: 17s 
Initiator-> Responder: 5 packets 420 bytes 
Responder-> Initiator: 5 packets 420 bytes 


(2) 排查 异常 侧 网 络 连通 性 
如 果 根 据 会 话 查 看 M9000 地 址 转换 正常 ,但 是 没有 收 到 响应 方 的 报 文 ,需要 仔细 检查 


M9000 到 报 文 源 目的 两 端 地 址 的 路 由 ,同时 也 需要 仔细 检查 内 部 网 络 或 者 服务 器 到 M9000 
的 路 由 ,确保 数据 流 的 来 回报 文 都 经 过 M9000。 


命令 : display ip routing-table x. x. x.x 
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例如 : 通过 命令 查看 内 网 和 外 网 的 路 由 都 正常 。 


<H3C>display ip routing-table 60.170.255.12 


Summary Count :1 


Destination/Mask Proto Pre Cost NextHop Interface 
0.0.0.0/0 Static 60 0 60.100.1.2 GE1/1/0/23 


<H3C>display ip routing-table 172.31.0.1 


Summary Count : 2 


Destination/Mask Proto Pre Cost NextHop Interface 
0.0.0.0/0 Static 60 0 60.100.1.2 GE1/1/0/23 
172.31.0.0/24 Direct 0 0 192.168.100.2 GE1/1/0/1 


(3) 检查 NA T 配置 
如 果 防 火 墙 会 话 不 正常 , 先 查看 NA T 的 配置 是 否 正确 。 这 里 分 以 下 几 种 情况 。 
O 检查 NAT Outbound 配置 。 
命令 : display nat outbound 
display nat address-group x 
display acl xxxx 
例如 : 通过 命令 查看 NAT 的 地 址 池 、ACL 规则 以 及 下 发 接口 是 否 正确 ,ACL 规则 、ACL 
的 匹配 次 数 等 相关 配置 。 


<H3C>display nat outbound 
NAT outbound information: 
Totally 1 NAT outbound rules. 
Interface: GigabitEthernet1/1/0/23 
ACL: 3000 Address group: 0 Port-preserved: N 
NO-PAT: N Reversible: N 
Config status: Active 


<H3C>display nat address-group 0 
Address group 0: 
Port range: 1-65535 
Address information: 
Start address End address 
60.191.66.139 60.191.66.139 


< H3C>-4isplay acl 3000 
Advanced ACL 3000, named -none-, 1 rule, 
ACL's step is 5 

rule 0 permit ip (27 times matched) 


@ 检查 NAT Server 配置 。 


命令 : display nat server 


<H3C>dis nat server 
NAT internal server information: 
Totally 1 internal servers. 
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Interface: GigabitEthernet1/1/0/23 
Protocol: 0(IPv4) 
Global IP/port: 60.100.1.3/0 
Local IP/port : 192.168.1.5/0 
Config status : Active 
Global flow-table status: Active 
Local flow-table status: Active 


@ 检查 NAT Static 配置 。 


命令 : display nat static 


<H3C>display nat static 
Static NAT mappings: 
Totally 1 outbound static NAT mappings. 


IP-to-IP: 
Local IP : 192.168.1.6 
Global IP : 60.100.1.10 


Config status : Active 
Local flow-table status: Active 
Global flow-table status: 
Interface GigabitEthernet1/1/0/23 : Active 


Interfaces enabled with static NAT: 
Totally 1 interfaces enabled with static NAT. 
Interface: GigabitEthernet1/1/0/23 
Config status: Active 


(4) 检查 域 间 策略 

查看 安全 域 及 域 间 策略 ,并 作 调 整 . 放 通 。 

查看 防火 墙 设备 上 相关 业务 接口 是 否 已 经 正确 的 加 入 安全 域 。 
MA: display security-zone name x 


例如 : 通过 命令 查看 ,可 以 确认 两 个 业务 接口 已 经 正确 加 入 安全 域 。 


<H3C>display security-zone name trust 
Name: Trust 
Members: 

GigabitEthernet1/1/0/1 


<H3C>display security-zone name untrust 
Name: Untrust 
Members: 

GigabitEthernet1/1/0/23 


确认 接口 已 经 加 入 安全 域 后 ,查看 相关 域 间 策略 ,确保 发 起 方 区 域 到 相应 方 区 域 的 域 间 策 
略 已 放 通 ,保证 数据 流 的 正常 建立 。 
命令 : display backet- filter zone-pair security source x destination x 
display acl x 
display object-policy zone-pair security source x destination x 
display object-policy ip x 
例如 : 通过 命令 查看 ,可 以 确认 trust 到 untrust 的 域 间 策略 已 经 全 部 放 通 。 
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<H3C>display packet-filter zone-pair security source trust destination untrust 
Zone-pair: source Trust destination Untrust 
ACL 3000 


<H3C>display acl 3000 
Advanced ACL 3000, named -none-, 1 rule, 
ACL's step is 5 

rule 0 permit ip (40 times matched) 


(5) 检查 路 由 
如 果 防 火 墙 NAT 和 域 间 策 略 配置 都 正确 ,但 是 会 话 不 正常 ,可 以 检查 下 路 由 信息 。 如 果 


完全 没有 会 话 信息 ,可 能 是 设备 没有 收 到 数据 报 文 ,如 果 NAT 地 址 转换 错误 ,可 能 是 报 文 走 
了 不 同 的 出 接口 。 


MS: display ip routing-table x. x. x.x 


例如 : 通过 命令 查看 路 由 相关 是 否 正确 。 


<H3C>4isplay ip routing-table 60.170.255.12 


Summary Count :1 


Destination/Mask Proto Pre Cost NextHop Interface 
0.0.0.0/0 Static 60 0 60.100.1.2 GE1/1/0/23 


<H3C>display ip routing-table 172.31.0.1 
Summary Count : 2 
Destination/Mask Proto Pre Cost NextHop Interface 


0.0.0.0/0 Static 60 0 60.100.1.2 GE1/1/0/23 
172.31.0.0/24 Direct 0 0 192.168.100.2 GE1/1/0/1 
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7 tE 6.2.18 M9000 版 本 升降 级 


1. 开始 

M9000 分 松 耦 合 和 紧 耦 合 版 本 ,采用 松 耦 合 版 本 时 ,安全 业务 板 与 M9000 机 框 无 统一 管 
理 关系 ,软件 升级 操作 与 V5 平台 机 框 ,安全 板 卡 各 自 独立 升级 管理 方式 相同 ; 采用 紧 耦 合 版 
本 时 ,防火 墙 等 安全 业务 板 与 M9000 机 框 为 统一 管理 关系 的 软件 版 本 。 

M9000 版 本 升级 故障 的 排查 思路 是 : 首先 明确 现 网 采用 松 耦 合 还 是 紧 耦 合 ,确认 所 需 版 
本 ,包括 Bootrom 及 软件 版 本 ,之 后 排查 版 本 上 传 是 否 成 功 ,最 后 检查 版 本 升级 相关 配置 是 否 
正确 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 版 本 上 传 是 否 成 功 

(D 通过 Bootware 方式 上 传 。 在 设备 加 电 启动 时 进入 Bootware 菜单 ,通过 显示 存储 介质 
中 所 有 文件 来 确认 版 本 上 传 是 否 成 功 。 

例如 : 在 Bootware 菜单 下 ,确认 文件 SECPATH9000M-CMW710-R9115P02. ipe 成 功 上 
传 到 flash 下 , 且 文 件 大 小 与 官网 版 本 一 致 , 若 Bootware 菜单 下 未 出 现 该 文件 ,或 者 文件 大 小 
与 官网 版 本 不 一 致 , 则 说 明 版 本 上 传 失 败 。 


Enter < Storage Device Operation > to select device. 


<1> Boot System 

<2> Enter Serial SubMenu 

<3> Enter Ethernet SubMenu 

<4> File Control 

<5> Restore to Factory Default Configuration 
<6> Skip Current System Configuration 
<7> BootWare Operation Menu 

<8> Skip Authentication for Console Login 
<9> Storage Device Operation 

<0> Reboot 

Ctrl 十 Z: Access EXTENDED ASSISTANT MENU 
Ctrl+F: Format File System 

Enter your choice(0-9): 4 


和 Be CONTROL 
| Note: the operating device is flash 

| <1> Display All File(s) 

|<2> Set Image File type 

|<3> Set Bin File type 

|<4> Delete File 

|<0> Exit To Main Menu 


Enter your choice( 0-4): 1 
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Display all file(s) in flash: 


'M' = MAIN 'B' = BACKUP 'N/A' = NOT ASSIGNED 
INO. Size(B) Time Type Name | 
|1 2398 Feb/06/2015 03:55:42 N/A flash: /pki/https-server. p12 | 
|2 975 Feb/06/2015 03:55:42 N/A flash: /pkey/dsa/keybbb.key | 
|3 1311 Feb/06/2015 03:55:42 N/A flash:/pkey/rsa/keyaaa. key | 
| 229 Feb/06/2015 03:55:42 N/A flash: /pkey/ecdsa/keyccc.key | 


|37 99980288 Feb/09/2015 09:01:43 N/A flash:/ SECPATH9000M-CMW710-R9115 | 
| P02.ipe 


O 通过 命令 行 方 式 上 传 。 在 命令 行 下 通过 命令 查看 版 本 文件 是 否 上 传 成 功 ,以 及 文件 大 
小 是 否 正确 。 

命令 : pwd 

dir [ /all ] [ fileurl | /all-filesystems ] 

例如 : 通过 命令 查看 版 本 文件 SECPATH9000M-CMW710-R9115P02. ipe 成 功 上 传 到 主 
用 主 控 板 flash 下 , 且 文 件 大 小 与 官网 版 本 一 致 。 若 flash 下 未 出 现 该 文件 ,或 者 文件 大 小 与 
官网 版 本 不 一 致 , 则 说 明 版 本 上 传 失 败 。 
<H3C>pwd 
flash: 


<H3C>dir 
Directory of flash: 


3 -rw- 99980288 Feb 09 2015 09:13:06 SECPATH9000M-CMW710-R9115P02. ipe 
4 -rw- 10047 Dec 18 2014 05:04:55 startup. cfg 
5 -rw- 136331 Dec 18 2014 05:04:56 startup. mdb 


(2) 检查 存储 空间 

检查 主 控 板 Flash、 防 火 墙 板 CF 卡 当 前 剩余 存储 空间 。 当 前 主 用 主 控 板 (准备 执行 升级 
操作 的 主 控 板 ) 应 预 留 320MB 以 上 的 空闲 空间 , 非 主 用 主 控 板 应 预 留 160MB 以 上 的 空闲 空 
间 , 防 火 墙 插 卡 应 预 留 60MB 以 上 的 空闲 空间 。 各 个 防火 墙 板 都 要 检查 ,剩余 空间 不 足 会 导致 
升级 过 程 中 系统 无 法 向 存储 介质 写 入 解压 后 的 板 卡 文件 ,需要 彻底 删除 无 用 文件 以 释放 存储 
空间 。 

O 通过 Bootware 方式 。 例 如 : 在 Bootware 菜单 下 ,确认 当前 主 控 板 flash 可 用 空间 为 
1412KB。 


|<1> Boot System 

|<2> Enter Serial SubMenu 

| 一 3 二 Enter Ethernet SubMenu 

|<4> File Control 

|<5> Restore to Factory Default Configuration 
|<6> Skip Current System Configuration 
|<7> BootWare Operation Menu 

|<8> Skip Authentication for Console Login 
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| <9> Storage Device Operation l 
|<0> Reboot I 
Ctrl+-Z: Access EXTENDED ASSISTANT MENU 

Ctrl 十 F: Format File System 

Enter your choice(0-9): 9 

 — A 二 DEVICE CONTROL ------------------------------- 

| <1> Display All Available Nonvolatile Storage Device(s) | 
|<2> Set The Operating Device | 
|<3> Set The Default Boot Device | 
|<0> Exit To Main Menu | 

Enter your choice(0-3): 1 

Display all available nonvolatile storage device(s) : 

INO. Device Name File System Total Size Available Space | 

11 flash JFFS2 503808KB 1412KB | 

O 通过 命令 行 方式 。 除 当前 主 用 主 控 板 外 ,切换 至 其 他 存储 空间 路 径 时 需要 写 完整 


首先 ,通过 命令 切换 至 相应 的 存储 介质 。 


命令 : cd [drive: |[/]path 


例如 : 通过 命令 切换 至 防火 墙 业务 板 CF 卡 。 


<H3C>display device 

Chassis Slot Type 

0 NONE 
NSQ1GP24TXEA0 

2 NONE 

3 NONE 

4 NSQ1SUPB0 

5 NONE 

6 NONE 

T NSQIFWCEA0 
CPU 1 

8 NONE 

9 NONE 

10 NSQ1FAB08D0 

11 NSQ1FAB08D0 

12 NSQ1FAB08D0 

13 NSQ1FAB08D0 

NONE 

NSQ1GP24TXEA0 

NONE 

NONE 

NSQ1SUPB0 

NONE 

NONE 

NSQ1FWCEA0 

CPU1 


=—=-—— 


totototo — 


3 m mn = Q to = o 


State 
Absent 
Normal 
Absent 
Absent 
Master 
Absent 
Absent 
Normal 
Normal 
Absent 
Absent 
Normal 
Normal 
Normal 
Normal 
Absent 
Normal 
Absent 
Absent 
Standby 
Absent 
Absentv 
Normal 
Normal 


Subslot 


0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
0 


Soft Ver 
NONE 
M9010-9115P02 
NONE 

NONE 
M9010-9115P02 
NONE 

NONE 
M9010-9115P02 
M9010-9115P02 
NONE 

NONE 
M9010-9115P02 
M9010-9115P02 
M9010-9115P02 
M9010-9115P02 
NONE 
M9010-9115P02 
NONE 

NONE 
M9010-9115P02 
NONE 

NONE 
M9010-9115P02 
M9010-9115P02 


Patch Ver 
None 
None 
None 
None 
None 
None 
None 
None 


None 
None 
None 
None 
None 
None 
None 
None 
None 
None 
None 
None 
None 
None 
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2 8 NONE Absent 0 NONE None 
2 9 NONE Absent 0 NONE None 
2 10 NSQIFABO8DO Normal 0 M9010-9115P02 None 
2 11 NSQ1FAB08D0 Normal 0 M9010-9115P02 None 
2 12 NONE Absent 0 NONE None 
2 13 NONE Absent 0 NONE None 
<H3C>cd ? 
STRING [drive] [path] 


chassis1 # slot4 # flash: Device name 
chassisl# slot7.1# cfa0: Device name 
chassis2 # slot4 # flash: Device name 
chassis2 # slot7.1# cfa0: Device name 


flash: Device name 
<H3C>cd chassis1 # slot7.1 # cfa0:/ 
—<H3C>pwd 


chassis1 # slot7.1 # cfa0 : 


然后 ,通过 命令 查看 当前 存储 介质 的 可 用 空间 是 否 满足 需求 。 


命令 : dir 
例如 : 通过 命令 查看 当前 防火 墙 业务 板 CF 卡 可 用 空间 为 159400KB, 满足 需求 。 
<H3C>dir 


Directory of chassisl # slot7. 1 # cfa0: 
0 -rw- 4875264 Jan 04 2015 07:00:50 BLADE3FWM9000-CMW710-BOOT-E9114P05. bin 
1 -rw- 4971520 Feb 06 2015 03:46:50 BLADE3FWM9000-CMW710-BOOT-R9115P02. bin 
2 -rw- 42277888 Jan 04 2015 07:01:58 BLADE3FWM9000-CMW710-SYSTEM-E9114P05. bin 
3 -rw- 42763264 Feb 06 2015 03:47:56 BLADE3FWM9000-CMW710-SYSTEM-R9115P02. bin 


4 drw- - Feb 02 2015 02:18:02 context 
5 drw- - Nov 03 2014 02:12:40 diagfile 
6 -rw- 1956 Feb 06 2015 03:48:34 ifindex. dat 
Taw- 0 Nov 03 2014 02:12:42 lauth. dat 
8 drw- - Nov 03 2014 02:12:40 logfile 
9 drw- - Feb 09 2015 04:55:12 pkey 

10 drw- - Feb 09 2015 04:55:11 pki 

11 drw- - Nov 03 2014 02:12:40 seclog 


252164 KB total (159400 KB free) 


(3) 检查 版 本 上 传 配置 

Bootware 和 命令 行 下 均 可 以 通过 TFTP 和 FTP 两 种 方式 上 传 文件 ,首先 应 确保 设备 与 
FTP/TFTP 服务 器 之 间 路 由 可 达 , 采 用 命令 行 FTP 方式 上 传 时 ,传输 模式 应 该 设置 为 二 进 制 
模式 。 

MA: binary 

例如 : 设备 通过 FTP 方式 连接 到 FTP 服务 器 10. 10. 241. 22 ,修改 传输 模式 为 binary, 


<H3C>ftp 10.10.241.22 

Press CTRL 十 C to abort. 

Connected to 10.10.241.22 (10.10.241.22). 
220 3Com 3CDaemon FTP Server Version 2.0 
User (10.10.241.22:(none)): admin 

331 User name ok, need password 

Password: 
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230 User logged in 

Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp> binary 

200 Type set to I. 

ftp> 


+ 
。 


(4) 判断 是 否 是 松 耦合 版 本 

目前 松 耦 合 版 本 的 使 用 场景 为 多 插 卡 方案 , 即 需要 IPS/ACG/LB/SSL VPN 等 安全 板 
采用 松 耦 合 方案 时 ,流量 采用 传统 手工 引流 方式 ; 采用 紧 耦 合 方案 时 ,可 采用 自动 分 流 方 
因此 ,需要 根据 现 网 需求 确认 版 本 是 否 为 松 耦 合 版 本 。 

(5) 检查 指定 版 本 

O 通过 Bootware 方式 。 例 如 : 在 Bootware 菜单 下 ,确认 当前 主 控 板 的 MAIN 文件 为 


M9000-CMW710-SYSTEM-R9115P02. bin 和 M9000-CMW710-BOOT-R9115P02. bin, 


Enter < Storage Device Operation > to select device. 


|<1> Boot System | 
|<2> Enter Serial SubMenu | 
|<<3> Enter Ethernet SubMenu | 
| <4> File Control | 
|<5> Restore to Factory Default Configuration | 
| 一 6> Skip Current System Configuration | 
|<7> BootWare Operation Menu | 
|<8> Skip Authentication for Console Login | 
|=9> Storage Device Operation | 
|<0> Reboot | 
Ctrl 十 Z: Access EXTENDED ASSISTANT MENU 

Ctrl 十 F: Format File System 

Enter your choice(0-9): 4 


| Note: the operating device is flash | 
| <1> Display All File(s) l 
|<2> Set Image File type | 
|<3> Set Bin File type | 
|<4> Delete File | 
|<0> Exit To Main Menu l 


Enter your choice(0-4): 1 


Display all file(s) inflash: 


MAIN BACKUP 'N/A' = NOT ASSIGNED 


|NO. Size(B) Time Type Name | 
|1 2398 Feb/06/2015 03:55:42 N/A flash: /pki/https-server. p12 | 
[2 975 Feb/06/2015 03:55:42 N/A flash:/pkey/dsa/keybbb.key | 
(3: 4933 Feb/06/2015 03:55:42 N/A flash: /pkey/rsa/keyaaa. key | 

l 


14 223 Feb/06/2015 03:55:42 N/A flash: /pkey/ecdsa/keyccc.key 
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|31 90513408 Feb/09/2015 09:44:47 M flash:/M9000-CMW710-SYSTEM-R9115 | 
|P02.bin 

|32 9459712 Feb/09/2015 09:41:43 M flash: / M9000-CMW710-BOOT-R9115P02 | 
|. bin 


O 通过 命令 行 方式 。 在 命令 行 下 可 以 查看 下 次 启动 版 本 。 

命令 : display boot-loader 

例如 : 通过 命令 查看 主 控 板 下 次 启动 版 本 为 M9000-CMW710-BOOT-R9115P02. bin 及 
M9000-CMW710-SYSTEM-R9115P02. bin, 防火 墙 板 下 次 启动 版 本 为 BLADE3FWM9000- 
CMW710-BOOT-R9115P02. bin 及 BLADE3FWM9000-CMW710-SYSTEM-R9115P02. bin, 


<H3C>display boot-loader 
Software images on chassis 1 slot 4: 
Current software images: 
flash: /M9000-CMW710-BOOT-R9115. bin 
flash: /M9000-CMW710-SYSTEM-R9115.bin 
Main startup software images: 
flash: /M9000-CMW710-BOOT-R9115P02.bin 
flash: /M9000-CMW710-SYSTEM-R9115P02.bin 
Backup startup software images: 
flash: /M9000-CMW710-BOOT-E9114P01.bin 
flash: /M9000-CMW710-SYSTEM-E9114P01.bin 
Software images on chassis 1 slot 7.1: 
Current software images: 
cfa0 :/BLADE3FWM9000-CMW710-BOOT-R9115. bin 
cfa0:/BLADE3FWM9000-CMW710-SYSTEM-R9115. bin 
Main startup software images: 
cfa0 :/BLADE3FWM9000-CMW710-BOOT-R9115P02. bin 
cfa0 :/BLADE3FWM9000-CMW710-SYSTEM-R9115P02. bin 
Backup startup software images: 
None 


(6) 检查 版 本 指定 配置 

主 控 板 及 防火 墙 板 的 版 本 根据 需要 指定 ,并 且 指 定 参数 all, 

命令 : bootloader file flash: /[sysname] all main 

例如 : 在 命令 行 下 指定 主 控 板 下 次 启动 文件 为 SECPATH9000M-CMW710-R9115P02. 
ipe, 防 火 墙 插 卡 下 次 启动 文件 为 SECBLADENGFW-CMW710-R9115P02. ipe, 


<H3C>boot-loader file flash:/SECPATH9000M-CMW710-R9115P02. ipe all main 
// 指 定 主 控 板 版 本 
Verifying the IPE file and the images 
H3C SecPath M9010 images in IPE: 
M9000-CMW710-BOOT-R9115P02. bin 
M9000-CMW710-SYSTEM-R9115P02. bin 
This command will set the main startup software images. Continue? [Y/N] :y 
Add images to chassis 1 slot 4. 
Decompressing file M9000-CMW710-BOOT-R9115P02. bin to flash:/M9000-CMW710-BOOT- 
R5115P02 bin... Done. 
Decompressing file M9000-CMW710-SYSTEM-R9115P02. bin to flash: /M9000-CMW710-SYSTEM- 
RN Done. 


.…Done. 
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The images that have passed all examinations will be used as the main startup software images at the 
next reboot on chassis 1 slot 4. 

Loading...% Dec 23 03:23:24:704 2014 H3C DEV/4/BOARD_ LOADING: Board in chassis 2 slot 4 is 
loading software images. 

.….%Dec 23 03:23:30:385 2014 H3C DEV/5/LOAD_ FINISHED: Board in chassis 2 slot 4 hasi 
finished loading software images. 

sDone. 

Loading......... % Dec 23 03:23:46:920 2014 H3C DEV/4/BOARD_LOADING: Board in chassis 2 slot! 
4 is loading software images. 

.% Dec 23 03:24:15:614 2014 H3C DEV/5/LOAD_FINISHED: Board in chassis 
2 slot 4 has finished loading software images. 


The images that have passed all examinations will be used as the main startup software images at thel 
next reboot on chassis 2 slot 4. 

Decompression completed. 

Do you want to delete flash:/SECPATH9000M-CMW710-R9115P02. ipe now? [Y/N] :y 


选择 Y 删除 IPE 文件 ,节省 上 传 了 版 本 文件 的 主 用 主 控 板 Flash 空间 。 


<H3C>boot-loader file flash:/SECBLADENGFW-CMW710-R9115P02.ipe all main 
Verifying the IPE file and the images....Done. 
Blade3fw-m9000 images in IPE: 
BLADE3FWM9000-CMW710-BOOT-R9115P02. bin 
BLADE3FWM9000-CMW710-SYSTEM-R9115P02. bin 
This command will set the main startup software images. Continue? [Y/N] :y 
Add images to chassis 1 slot 4. 
Decompressing file BLADE3FWM9000-CMW710-BOOT-R9115P02. bin to flash: /BLADE3FWM9000- 
CMW710-BOOT-R9115P02. bin..........] Done. 
Decompressing file BLADE3FWM9000-CMW710-SYSTEM-R9115P02. bin to flash: /BLADE3FWM9000- 
CR 
Done. 
Loading. . . % Dec 23 03:27:57:906 2014 H3C DEV/4/BOARD_LOADING: Board in chassis 2 slot 7.1 
is loading software images. 
% Dec 23 03:27:57:906 2014 H3C DEV/4/BOARD_LOADING: Board in chassis 1 slot 7.1 is loading 
software images. 
% Dec 23 03:28:02:302 2014 H3C DEV/5/LOAD_FINISHED: Board in chassis 1 slot 7.1 has finished 
loading software images. 


Loading....% Dec 23 03:28:11:151 2014 H3C DEV/4/BOARD_LOADING: Board in chassis 2 slot 7.1 
is loading software images. 
% Dec 23 03:28:11:151 2014 H3C DEV/4/BOARD_LOADING: Board in chassis 1 slot 7.1 is loading 
software images. 
% Dec 23 03:28:26:245 2014 H3C DEV/5/LOAD_FINISHED: Board in chassis 1 slot 7.1 has finished 
loading software images. 
Done. 

The images that have passed all examinations will be used as the main startup software images at the 
next reboot on chassis 1 slot 7.1. 
Specify the startup software image files for Blade3fw-m9000 to load from the parent device? [Y/N] :y 
The images that have passed all examinations will be used as the load software image files for Blade3fw- 
m9000. 
Decompression completed. 

Do you want to delete flash: /SECBLADENGFW-CMW710-R9115P02.ipe now? [Y/N] :y 


(7) 检查 主 控 板 Bootrom 
主 控 板 SUPB 当前 Bootrom 版 本 应 为 1. 19 。 
在 命令 行 下 可 以 查看 主 控 板 Bootrom 版 本 。 
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MS: display version 


例如 : 通过 命令 查看 主 控 板 Bootrom 版 本 为 119 。 


<H3C>display version 

Uptime is 0 weeks, 4 days, 20 hours,5 minutes 

H3C SecPath M9010 MPU(M) with 1 XLP316 Processor 
BOARD TYPE: NSQ1SUPB0 

DRAM: 8192M bytes 

FLASH: 500M bytes 

NVRAM: 512K bytes 

PCB 1 Version: VER.A 

Bootrom Version: 119 

CPLD 1 Version: 003 

CPLD 2 Version: 003 

CPLD 3 Version: 003 

Release Version: H3C SecPath M9010-9115 


(8) 检查 安全 板 卡 后 插 板 Bootware 

M9000 机 框 插 二 代 安 全 业务 板 时 ,只 能 使 用 松 耦 合 方式 ,需要 修改 安全 板 卡 的 后 插 板 
Bootware Æ v5. 01, 涉 及 的 搬 卡 型 号 为 LSQ2FWBSC0/LSQ1ACGASC0/LSQ1IPSSC0/ 
LSQ1SSLSC0/LSQ1LBSC0/LSQ1NSMSC0, 

可 以 将 console 线 连 至 安全 板 卡 后 持 板 串口 查看 当前 后 择 板 Bootware 版 本 ,图 6-125 所 
示 为 升级 正确 后 的 后 插 板 Bootware 界面 。 


ligil - 超级 终端 

IHO @üQ) EEV FNC HD MMW 
D 628 OH 

System is starting. 

Booting Normal Extend BootHare 


The Extend BootWare is self-decompressing 
Done! 


wuwwwwwwnwwnwwwwwanwwwwwwqwwquwwwwwwwwanwwnwwwwwwnkwwnawwwniwwawwawwwawawnwwanwana 
- 
` 
- 


Compiled Date 
CPU Type 
CPU Ll Cache 


CPU Clock Speed 
Memorv Type 
Memorv Size 
Memorv Speed 
BootMare Size 
CPLD Version 
PCB Version 


BootMare Validating.. 
Press Ctrl+B to access EXTENDED-BOOTHARE MENU.. 


Enter Serial SubMenu 

Enter Ethernet SubMenu n 

Restore to Factory Default Configuration 
Skip Current System Configuration 
BootMare Operation Menu 

Skip Authentication for Console Login 


Enter your choice(0-6): 


TEIE 00:03:+ 自动 检测 9600 8-1 


E 6-125 升级 后 的 后 插 板 Bootware 界面 
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(9) 检查 安全 板 卡 前 插 板 Bootware 

M9000 机 框 插 三 代 安 全 业务 板 松 耦 合 时 ,需要 修改 安全 板 卡 的 前 插 板 Bootware 至 
vl. 20 ,涉及 的 插 卡 型 号 为 : LSU1IPSBEA0/NSQ1FWCEA0, 

例如 : 可 以 在 设备 启动 时 查看 当前 IPS 安全 板 卡 的 前 插 板 Bootware 版 本 。 


System is starting... 

Press Ctrl 十 D to access BASIC-BOOTWARE MENU 
Press Ctrl 十 T to start heavy memory test 

Booting Normal Extend BootWare........ 

The Extend BootWare is self-decompressing......] Done! 


FEAE REHE NEKE KE EERE JE JEJE JE JEFE FE E E EEIE AEAEE AE E FEE EAE EIE JEJE AEAEE EE E EERE AERE AE AE AE FE EE EEIEIE AE AE AERE E FE EEEE EAE AE AERE EREE EEEE EEEE EE 


* * 
* H3C SecBlade IPS BootWare, Version 1.20 * 
* * 


RE NE E DEDEDE PEYE FE NE HE HE ERE E DE PE PE PE PE PE E DE E E DEPE PEPE FE FE FE FE ERE E DE DE PE PE PEPE PE E E DEAE DE PEPE PE FE PE FE PE EPE EDE DE PE PEPE PE PE DE DE DEAE EDE PE PE NE FE FE REE MEE EAE AEAEE 


Compiled Date : Nov 20 2013 
CPU Type : XLP432 
CPU Clock Speed : 1500MHz 
Memory Type : DDR3 SDRAM 
Memory Size : 4096MB 
Memory Speed : 1333MHz 
BootWare Size : 768KB 
Flash Size : 8MB 

cfa0 Size : 999MB 
CPLD_A Version z 2.0 
CPLD_B Version AAIR 
CPLD_C Version :1.0 


PCB Version : Ver. A 


6.2.19 M9000 日 志 功 能 故障 排查 $ 


Mgopp 日 直 , 功 能 故障 排查 


检查 customlog 
参数 配置 


拨打 热线 
400-310-0504 
ZE 
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产品 6.2.19 M9000 日 志 功能 故障 排查 步骤 详解 


1. 开始 

日 志 功 能 是 M9000 的 信息 枢纽 ,包括 系统 日 志和 NAT 日 志 两 种 。 系 统 日 志 能 够 对 系统 
内 所 有 模块 的 日 志 信 息 进行 分 类 ,管理 ,为 网 络 管理 员 监 控 网 络 运行 情况 和 诊断 网 络 故障 提供 
有 力 的 支持 ; NAT 日 志 是 为 满足 网 络 管理 员 做 安全 审计 的 需要 ,对 用 户 的 访问 信息 .用 户 IP 
地 址 的 转换 信息 .用 户 的 网 络 流量 信息 等 进行 记录 的 一 种 日 志 类 型 ,可 以 通过 一 定 的 格式 发 给 
日 志 主 机 。 

M9000 日 志 功 能 问题 排查 的 主要 思路 是 : 首先 根据 不 同 的 日 志 类 型 确认 排查 思路 ; 系统 
日 志 输 出 要 保证 信息 中 心 开关 处 于 打开 状态 ,明确 需要 排查 信息 中 心 哪个 方向 的 故障 ,确认 每 
个 输出 方向 配置 是 否 有 问题 ; 会 话 日 志 的 故障 排查 也 分 为 两 种 ,明确 需要 发 送 二 进 制 形式 的 
会 话 日 志 还 是 十 进 制 形式 的 会 话 日 志 , 然 后 分 别 确认 配置 是 否 存在 问题 ; 无 论 何 种 日 志 的 输 
出 ,只 要 需要 发 送 到 日 志 服 务 器 ,那么 就 需要 确保 日 志 服 务 器 的 IP 地 址 和 端口 号 可 达 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 信息 中 心 配置 

默认 情况 下 ,M9000 信息 中 心 开关 处 于 开启 状态 ,并 且 可 以 将 相应 等 级 的 日 志 信息 输出 
到 控制 台 ,监控 终端 `Logbuffer 以 及 logfile 文件 内 ; 如 果 信 息 中 心 开关 处 于 关闭 状态 ,那么 信 
息 中 心 的 所 有 功能 皆 不 可 用 ,所 以 第 一 步 需要 查看 信息 中 心 的 配置 。 


MS: display info-center 


infocenter enable 


[H3C] display info-center 
Information Center: Enabled 
Console: Enabled 
Monitor: Enabled 
Log host: Enabled 
Us 
port number: 514，host facility: local7 
Log buffer:Enabled 
Max buffer size 1024, current buffer size 512 
Current messages 512, dropped messages 0, overwritten messages 337 
Log file: Enabled 
Security log file: Disabled 
Information timestamp format: 
Log host: Date 
Other output destination: Date 


[H3C]info-center enable 
Information center is enabled. 


(2) 打开 日 志 中 心 各 方向 开关 

M9000 信息 中 心 ,可 以 通过 配置 将 日 志 信 息 输 出 到 控制 台 ,监控 终端 .Loghost\Logbuffer 
以 及 logfile 文件 内 ,通过 查看 信息 中 心 配置 可 以 确认 信息 中 心 各 个 输出 方向 开关 是 否 打开 ， 
如 果 没 有 打开 ,可 以 通过 命令 打开 。 
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命令 : display info-center 
terminal monitor 
infocenter enable 
info-center logbu f fer 


infocenter loghost x.x. x.x port xxx 


[H3C] display info-center 
Information Center: Enabled 
Console: Enabled 
Monitor: Enabled 
Log host: Enabled 
Toge le 
port number: 514, host facility: local7 
Log buffer: Enabled 
Max buffer size 1024, current buffer size 512 
Current messages 512, dropped messages 0, overwritten messages 337 
Log file: Enabled 
Security log file: Disabled 
Information timestamp format: 
Log host: Date 
Other output destination: Date 


<H3C> terminal monitor 
The current terminal is enabled to display logs. 


CH3C]info-center enable 
Information center is enabled. 


[H3C]info-center logbuffer 


[H3C]info-center loghost 1.1.1.1 port 514 facility local7 


(3) 检查 设备 存储 空间 
如 果 需 要 将 日 志 输 出 到 Logfile ,那么 需要 确保 设备 存储 空间 至 少 要 有 10MB 空间 剩余 。 
MA: dir 


<H3C>dir 
Directory of flash: 
0 -rw- 10125 Sep 11 2014 01: Bak_20140911. cfg 
1 -rw- 9268224 Nov 03 2014 01: M9000-CMW710-BOOT-E9114P05. bin 
2 -rw- 89675776 Nov 03 2014 01: M9000-CMW710-SYSTEM-E9114P05. bin 
3 -rw- 47160320 Nov 03 2014 01:12: SECBLADENGFW-CMW710-E9114P05. ipe 
4 -rw- 98951168 Nov 03 2014 01:05: SECPATH9000M-CMW710-E9114P05. ipe 
5 drw- - Apr 21 2014 17:42: diagfile 
6 -rw- 1806 Nov 26 2014 00:39: ifindex. dat 
7 -rw- 0 Jul 28 2014 14:50: lauth. dat 
8 drw- = Jan 12 2014 22:17: license 
9 drw- - Nov 26 2014 07:23: logfile 
10 drw- - Nov 19 2014 01:41: pki 
11 drw- - Jan 12 2014 22:17:24 seclog 
12 -rw- 8694 Nov 26 2014 00:39:41 startup. cfg 
13 -rw- 130152 Nov 26 2014 00:39:41 startup. mdb 
14 drw- - Jun 25 2014 17:34:34 versionlnfo 


503808 KB total (92512 KB free) 
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(4) 检查 服务 器 地 址 和 端口 可 达 性 

如 果 需 要 将 日 志 发 送 到 日 志 服 务 器 ,那么 需要 保证 日 志 服 务 器 地 址 可 达 , 并 且 相应 的 端口 
在 日 志 服 务 器 已 打开 ,可 以 通过 ping 等 手段 确认 。 如 果 服 务 器 不 可 达 , 需 要 检查 M9000 与 服 
务 器 之 间 网 络 是 否 存在 问题 ; 如 果 服 务 器 可 以 收 到 M9000 发 送 的 日 志 报 文 , 但 是 无 法 解析 
到 ,需要 确认 日 志 服 务 器 是 否 监听 了 防火 墙 发 送 日 志 的 端口 。 


MA: ping x.x. x. x 


<H3C>ping 1.1.1.1 

Ping 1.1.1.1 (1.1.1.1): 56 data bytes, press CTRL_C to break 
56 bytes from 1.1.1.1: icmp_seq=0 ttl=255 time=0.536 ms 
56 bytes from 1.1.1.1: icmp_seq=1 ttl=255 time=0.435 ms 
56 bytes from 1.1.1.1: icmp_seq=2 ttl=255 time=6.886 ms 
56 bytes from 1.1.1.1: icmp_seq=3 ttl=255 time=0.416 ms 
56 bytes from 1.1.1.1: icmp_seq=4 ttl=255 time=0.424 ms 


--- Ping statistics for 1.1.1.1 --- 

5 packets transmitted, 5 packets received, 0.0% packet loss 

round-trip min/avg/max/std-dev = 0.416/1.739/6.886/2.574 ms 

<H3C> % Nov 27 09:45:33:548 2014 H3C PING/6/PING_STATISTICS: Ping statistics for 1.1.1. 
1: 5 packets transmitted, 5 packets received, 0.0% packet loss, round-trip min/avg/max/std-dev = 
0.416/1.739/6.886/2.574 ms. 


(5) FLow 日 志 

设备 根据 报 文 的 五 元 组 ( 源 IP 地 址 .目的 IP 地 址 、 源 端口 .目的 端口 .协议 号 ) 对 用 户 访问 
网 络 的 流 进行 分 类 统计 ,并 生成 用 户 流 (Flow) 日 志 。Flow 日 志 目 前 主要 用 来 记录 用 户 访问 
网 络 所 产生 的 NAT 会 话 相 关 信 息 , 包 括 五 元 组 和 发 送 、 接 收 的 字 节 数 等 ; 网 络 管理 员 利 用 这 
些 信息 可 以 实时 跟踪 、 记 录 、 分 析 用 户 访问 网 络 的 情况 。Flow 日 志 可 以 封装 成 二 进 制 格式 的 
UDP 报 文 直接 发 送 到 日 志 主 机 ,虽然 Flow 也 支持 输出 到 信息 中 心 转换 为 十 进 制 输出 ,但 是 传 
输 效 率 低 , 并 对 会 对 设备 性 能 产生 重大 影响 ,严禁 Flow 日 志 输 出 到 信息 中 心 。 

(6) 检查 Flow 日 志和 参数 配置 

在 配置 Flow 日 志 前 需要 通过 nat log enable 命令 使 能 NAT 日 志 功 能 ,并 根据 用 户 需 求 
选择 开启 NAT 新 建 、 删 除 会 话 日 志和 活跃 流 日 志 功 能 ; 然后 确认 配置 了 userlog 发 送 NAT 
会 话 日 志 。 

MS: display userlog export 

display nat log 


<H3C>display userlog export 
Flow: 
Export flow log as UDP Packet. 
Version: 1.0 
Source ipv4 address: 
Source ipv6 address: 
Log load balance function: Disabled 
Local time stamp: Disabled 
Log host numbers: 1 


Log host 1: 
Host/Port: 1.1.1.1/12345 
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Total logs/UDP packets exported: 0/0 
<H3C>display nat log 
NAT logging: 
Log enable : Enabled 
Flow-begin : Disabled 
Flow-end : Enabled 
Flow-active : Disabled 
Port-block-assign : Disabled 
Port-block-withdraw : Disabled 
Alarm : Disabled 


(7) Customlog 

Customlog 类 型 的 NA T 会 话 日 志 是 M9000 针对 国内 三 家 运营 商 进 行 定 制 的 NA T 会话 
日 志 , 根 据 不 通 运营 商 的 要 求 开 发 的 不 通 格式 的 十 进 制 格式 日 志 , 如 果 需 要 在 M9000 上 发 送 
十 进 制 NAT 会 话 日 志 ,必须 采用 Customlog 类 型 的 NAT 会话 日 志 。 

(8) 检查 Customlog 参数 配置 

在 配置 Customlog 日 志 前 需要 通过 nat log enable 命令 使 能 NAT 日 志 功能 ,并 根据 用 户 
需求 选择 开启 NAT 新 建 、 删 除 会 话 日 志和 活跃 流 日 志 功能 ; 然后 确认 配置 了 customlog 发 送 
NAT 会话 日 志 。 

命令 : display userlog export 


display current-con figuration | include customlog 


<H3C>display current-configuration | include customlog 
customlog format cmcc 
customlog host 1.1.1.1 port 12345 export cmcc-sessionlog cmcc-userlog 


<H3C>display nat log 


NAT logging: 
Log enable : Enabled 
Flow-begin : Disabled 
Flow-end : Enabled 
Flow-active : Disabled 
Port-block-assign : Disabled 


Port-block-withdraw : Disabled 
Alarm : Disabled 
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IPE 6.3.1 LB NAT 方式 服务 器 负载 
06 安全 产品 均衡 故障 排查 步骤 详解 


1. 开始 
服务 器 负载 均衡 技术 可 以 将 大 量 用 户 的 业务 分 担 给 多 台 服 务 器 ,提高 了 业务 的 整体 处 理 


能 力 , 同 时 保证 了 业务 的 高 可 靠 性 , NAT 方式 是 最 常见 的 服务 器 负载 均衡 技术 。NAT 方式 
服务 器 负载 定位 故障 的 思路 是 : 先 确认 LB 是 否 收 到 客户 请 求 报 文 , 然 后 检查 虚 服 务 和 实 服务 
状态 ,再 检查 调度 算法 ,最 后 检查 持续 性 和 ACL 策略 。 


2. 流程 图 相关 操作 说 明 


(1) 查看 LB 是 否 收 到 客户 端 报 文 
LB 将 不 同 客户 的 请 求 分 发 给 不 同 的 服务 器 ,从 而 实现 负载 分 担 的 目的 ,所 以 定位 问题 时 


首先 要 判断 LB 是 否 收 到 客户 端的 请 求 报 文 ,具体 可 以 通过 在 LB 上 查看 会 话 或 者 抓 包 的 方法 
进行 确认 。 


MA: display session table source-ip x.x. x.x destination-ip y. y. y. y verbose 


例如 : 通过 命令 可 以 发 现 LB 已 经 收 到 客户 端 10. 0. 0. 1 发 来 的 请 求 报 文 。 


[H3C] display session table source-ip 10.0.0.1 destination-ip 60.191.99.142 verbose 
Initiator: 

Source IP/Port : 10.0.0. 1/60931 

Dest IP/Port : 60.191.99.142/80 

VPN-Instance/ VLAN ID/VLL ID: 
Responder: 

Source IP/Port : 192.168. 1. 2/80 

Dest IP/Port : 10.0.0.1/60931 

VPN-Instance/VLAN ID/VLL ID: 


Pro: TCP(6) App: HTTP State: TCP-EST 
Start time: 2013-04-26 13:35:52 TTL: 3595s 
Root Zone(in) : 

Zone(out) : 


Received packet(s) (Init): 2 packet(s) 92 byte(s) 
Received packet(s) (Reply): 1 packet(s) 44 byte(s) 


(2) 检查 路 由 信息 
如 果 通 过 查看 会 话 或 者 抓 包 发 现 LB 没有 收 到 客户 的 请 求 报 文 ,那么 需要 对 路 由 进行 排 


查 , 确 保 上 行 设备 都 有 到 达 LB 的 虚 服 务 IP 地 址 的 路 由 。 


MS: display ip routing-table z. z. x.x 
例如 : LB 的 虚 地 址 是 60. 191. 99. 142 ,通过 命令 看 到 上 行 设备 已 经 有 到 60. 191. 99. 142 


的 路 由 。 


<SW>4isplay ip routing-table 
Routing Tables: Public 


Destinations : 9 Routes : 9 
Destination/ Mask Proto Pre Cost NextHop Interface 
10.0.0.0/24 Direct 0 0 10.0.0.254 Vlan10 


10.0.0.254/32 Direct 0 0 127.0.0.1 JInLoop0 
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20.0.0.0/24 Direct 0 0 20.0.0.1 Vlan20 
20.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0 
60.191.99.142/32 Static 60 0 20.0.0.2 Vlan20 


另外 ,加 入 LB 的 虚 服务 IP 地 址 和 接口 地 址 在 同一 物理 网 段 ,由 于 LB 的 虚 地 址 目前 不 会 
响应 ARP, 所 以 需要 在 上 行 设备 配置 32 位 主机 路 由 ,或 者 将 LB 虚 地 址 配置 成 接口 sub 地 址 


或 VRRP 虚 地 址 。 
例如 : LB 的 接口 地 址 为 20. 0. 0. 0/24, 虚 服务 IP 地 址 是 20. 0. 0. 100 ,可 以 将 虚 服 务 地 址 


配置 成 接口 sub 地 址 或 者 VRRP 虚 地址 。 


[H3C]display current-configuration interface Ten-GigabitEthernet 0/0.20 
# 
interface Ten-GigabitEthernet0/0.20 

vlan-type dotlq vid 20 

ip address 20.0.0.2 255.255.255.0 

ip address 20.0.0.100 255.255.255.0 sub 


# 
[H3C]display current-configuration interface Ten-GigabitEthernet 0/0.20 


interface Ten-GigabitEthernet0/0.20 
vlan-type dotlq vid 20 
ip address 20.0.0.2 255.255.255.0 
vrrp vrid 20 virtual-ip 20.0.0.100 
vrrp vrid 20 priority 120 

# 


(3) 查看 虚 服务 状态 

登录 到 LB 设备 的 Web 管理 界面 ,查看 LB 虚 服 务 的 状态 是 否 正常 ,如 果 虚 服务 没有 使 能 
或 者 虚 服 务 对 应 的 所 有 实 服务 都 出 现 异常 , 则 虚 服 务 会 显示 红 灯 ,LB 不 会 对 命中 虚 服务 的 报 
文 进行 转发 ,所 以 一 定 要 检查 配置 ,确认 虚 服务 已 经 使 能 , 且 状 态 显 示 为 绿灯 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 * 负 载 均衡 ”一 “服务 器 负载 均衡 ”一 
“IPv4 协议 ”, 单 击 * 虚 服务 ”页 签 ,如 图 6-126 所 示 ,可 以 看 到 当前 LB 上 http_service 的 虚 服 务 
状态 正常 ,但 是 dns_service 这 个 虚 服务 的 状态 不 正常 。 


š C Rm J| anma 
O smsa RAS vize espan SSS ps weas TRSA FMN ME 
° 


ea 


E dns_sevice ME 60.191.99.141/32  UDP:53 ° 网 络 地 址 转换 dnsservers 2 
网 络 地 址 转换 httpsevers 2 en 


http_semvice RE 60.191.99.142/32 TCP:80 


Æ 6-126 ERS 
(4) 检查 虚 服务 配置 
如 果 虚 服务 的 状态 不 正常 ,请 仔细 检查 虚 服 务 是 否 已 经 使 能 ,然后 检查 虚 服 务 的 IP 地 址 、 


FETS .协议 和 端口 是 否 配置 正确 。 
例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 * 负 载 均 衡 ” “服务 器 负载 均衡 ”一 
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“IPv4 协议 ”, 先 单 击 * 虚 服务 ”页 签 ,然后 再 单 击 对 应 虚 服务 后 面 的 编辑 按钮 进入 虚 服务 的 配 
置 界 面 , 如 图 6-127 和 图 6-128 所 示 可 以 看 到 http_service 这 个 虚 服 务 的 IP 地 址 \ 掩 码 、 协 议 
及 端口 信息 配置 正确 ,并 确认 虚 服 务 状态 已 经 使 能 。 


DO empa RSS vnas sespe DOARA ys what TRSA TESA H 
回 dns_semce AE 60 19199 14132  UDP:53 © 网络 地 址 转换 dnssevers 2 en 
E ntp_sevice PE 60.191.99.14232  TCP:80 © 。 网络 地 址 转换 htipsevers 2 


6-127 ” 虚 服 务 配 置 


ERSE: [http_semce ] 
masm: O 四 层 协议 及 应 用 识别 七 层 应 用 内 容 识 别 


源 地 址 池 : [ -| 《地 址 地 地 大 长 度 为 255) 


连接 孝 限 制 : fo (0- 10485760，0 来 示 不 限制 ， 基 省 值 = 0) 


6-128 ”修改 虚 服务 


(5) 查看 实 服务 状态 

LB 通过 健康 性 检测 实时 监控 各 实 服务 的 状态 ,状态 正常 的 实 服务 显示 绿灯 ,一 旦 检测 到 
实 服务 故障 ,就 显示 红 灯 。LB 不 会 向 故障 的 实 服务 分 发 流量 ,在 日 常 维护 过 程 中 要 及 时 关注 
实 服务 的 状态 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “ 负 载 均 衡 " 一 “服务 器 负载 均衡 "一 
“IPv4 协议 ”, 单 击 * 实 服务 ”页 签 , 如 图 6-129 所 示 , 可 以 看 到 httpserverl 和 httpserver2 的 健 
康 性 检测 状态 正常 ,dnsserverl 和 dnsserver2 的 状态 不 正常 。 

(6) 检查 实 服务 配置 

如 果实 服务 的 状态 不 正常 ,需要 检查 实 服务 的 IP 地 址 .端口 以 及 健康 性 检测 类 型 等 配置 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “负载 均衡 ”服务 器 负载 均衡 ”一 
“IPv4 协议 ”, 先 单 击 “ 实 服务 ”页 签 , 然 后 再 单 击 对 应 实 服务 后 面 的 编辑 按钮 进入 实 服务 的 配 
置 界面 ,如 图 6-130 和 图 6-131 所 示 ,看 到 实 服务 httpserverl 的 IP 地 址 、 端 口 配置 正确 ,健康 
性 检测 方法 和 实 服务 组 一 致 。 
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Ez 121 ARS mime | 
zesg — -[ Nm J| 高 和 查询 
[a| FRKE 实 服务 IP 地 址 WOS | 状态 | RE RAR “最大 连 槟 数 限制 TRSA ACL 。 健康 性 检测 方法 RF 
E dnssemer1 192.168.13 s jo 100 100 ° ansservers 与 突 服务 组 一 致 命 站 
E onssenerz 192.168.1.4 s jo foo 10 ° anssemvers 与 实 服务 组 -- 致 ® D 
E htpsewer1 19216811 sæ je 100 100 ° htpservers 与 突 服务 组 一至 D 
E htpsever2 192.168.12 æ je 100 100 ° htpservers 与 实 服务 组 一 至 命 站 


[a] 实 服务 名 FIRA Piet 端口 号 $G RNE RAR MARARA KRHA 。 ACL 。 健康 性 检测 方法 WE 
| E anssemvert 192.168.1.3 5 © 100 100 ° dnsservers Y] 
E anssever2 192.168.1.4 s ° 100 100 o ansservers 与 实 服务 组 - 致 命 自 
E) htpsever1 192.168.1.1 . o 100 100 ° htpservers 与 突 服 务 姐 一 到 A 
E) htpsever2 192.168.12 w o 100 100 ° httpservers 与 实 服务 组 -致命 自 


权 值 : [oo  |(-255, Mi= 100) 
优先 级 : [Poo ] (1- 255, Mil- 100) 
最 大 连接 数 限 制 : O —  |(0-10485760, 0%TOHB9|, BG(8-0) 
所 属实 服务 组 : httpservers ~ 
ACL: | (2000-3999) 
ERRE 

健康 性 检测 方法 : 与 实 服务 组 一 至 ~ 

四 L. 1 

四 立即 停止 服务 
号 (") 为 必须 填 瑟 项 

Cae J ma 


6-131 修改 实 服务 


(7) 检查 健康 性 检测 

LB 通过 健康 性 检测 实时 监控 实 服务 的 状态 ,如 果实 服务 出 现 异常 就 显示 红 灯 , 并 且 会 输 
出 日 志 提 示 , 当 实 服务 出 现 异 常 的 时 候 除 了 检查 实 服务 的 IP 地 址 、 端 口 等 配置 是 否 正 确 外 ,还 
应 该 及 时 根据 实 服务 的 健康 性 检测 类 型 检查 实 服务 的 路 由 可 达 性 、 实 服务 提供 业务 的 端口 . 进 
程 或 者 应 用 程序 是 否 正常 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “ 负 载 均 衡 "*>“ 服 务 器 负载 均衡 "一 
“IPv4 协议 ”, 单 击 * 实 服务 "页 签 ,然后 再 单 击 对 应 实 服务 后 面 的 编辑 按钮 进入 实 服务 的 配置 
界面 ,看 到 httpserverl 这 个 实 服务 的 健康 性 检查 选择 的 类 型 和 实 服务 组 一 致 ,再 单 击 “ 实 服务 
组 ”页 签 , 查 看 实 服务 组 的 健康 性 检测 类 型 是 ICMP ,然后 进入 LB 的 健康 性 检测 配置 页 面 检查 
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ICMP 的 相关 配置 参数 过 程 如 图 6-132 一 图 6-134 所 示 。ICMP 主要 用 于 检测 服务 的 可 达 性 ， 
通过 命令 可 以 看 到 LB 到 实 服务 192.168.1.1 的 路 由 正常 。 


[00 (1-255, #@g= 100) 
hoo ] (1- 255, ai= 100) 
最 大 连接 数 限制 : o |](0- 10485760，0 来 示 不 限制 ， 缺 省 值 =0) 
所 属实 服务 组 : hitpsovers ç] 
ACL: [| (2000- 3999) 
-高 级 配置 
健康 性 检测 方法 : 与 实 服务 组 一 致 ~ 
回 使 能 慢 定 
[a] 立即 停止 服务 


源 地 址 散 列 


己 选 检测 方法 可 选 检测 方法 
icmp zafer 可 
健康 性 检测 方法 : ” g 
(最 多 16 个 ) zp 
imap 
pop3 - 
健康 性 检 到 成 功 条 件 : 。 全 部 “健康 性 检测 方法 通过 
实 服务 故障 处 理 : 保持 已 有 连接 ` 
识别 特征 : 序 符 (1-127) 
ACL: r r —— 
EPRE 
号 (") 为 必须 填写 项 
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秒 (1- 259200, B@(8 = 5) 
秒 (1- 3600, #@(8 =3) 
(1-10 B@(8=3) 


ES (0 ALARSA 


EE 
图 6-134 ”修改 健康 性 检测 
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<=LB> display ip routing-table 192.168.1.1 

Routing Table : Public 

Summary Count : 1 

Destination/ Mask Proto Pre Cost NextHop Interface 
192.168.1.0/24 Direct 0 0 192.168.1.254 XGE0/0.50 


<LB> ping 192.168.1.1 
PING 192.168.1.1: 56 data bytes, press CTRL_C to break 
Reply from 192.168.1.1: bytes=56 Sequence=0 ttl=255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=2 ttl=255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=3 ttl=255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms 


--- 192.168.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/2 ms 


(8) 查看 LB 负载 分 担 效果 

LB 提供 了 丰富 的 统计 功能 ,可 以 对 每 个 虚 服 务 、 实 服务 的 连接 数 、 连 接 速 率 、 收 发 报 文 数 
等 信息 进行 统计 ,通过 统计 信息 可 以 看 到 LB 当前 的 负载 分 担 效果 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 * 负 载 均衡 ”服务 器 负载 均衡 ”一 
“IPv4 协议 ”, 单 击 “ 统 计 信息 ”页 签 , 如 图 6-135 所 示 , 可 以 查看 虚 服务 http_service 及 其 关联 
实 服务 httpserverl 和 httpserver2 的 总 连接 数 、 连 接 速 率 等 信息 ,从 当前 统计 情况 来 看 ， 
httpserverl 和 httpserver2 的 负载 效果 非常 均匀 。 


虚 服 务 名 ~H gpm 
ERSA ushi — Swuisihhitikhusa EAE C ARRE ERR E 
http_sevice 200 60/60 10110 57010 380 a 

nran ishani Aka S 

Ba O 值 CHAD) RR kops) (Rops) 
httpserver1 100 30/30 5/15 285 190 1 0 
httpserver2 100 30130 515 285 190 1 0 
CA 


图 6-135 统计 信息 


(9) 检查 调度 算法 

如 果 通 过 虚 服 务 的 统计 信息 看 到 服务 器 负载 的 效果 不 均匀 ,应 该 及 时 根据 业务 情况 调整 
调度 算法 。 调 整 的 时 候 先 找到 对 应 的 虚 服 务 ,然后 查看 虚 服 务 关 联 的 是 服务 组 ,修改 该 实 服务 
组 的 调度 算法 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 * 负 载 均衡 ”服务 器 负载 均衡 ”一 
“IPv4 协议 ”, 先 单 击 “ 虚 服务 ?页 签 ,查看 http_service 关联 的 实 服务 组 是 httpservers, 如 图 6-136 
所 示 ,然后 进入 httpservers 实 服务 组 的 配置 界面 调整 其 调度 算法 ,如 图 6-137 所 示 。 
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mna _ sms derim 
a T -baasen 
O amsa AOS VPNZM BRSPeWHRS ARO ps RARS SRSA FRAN HE 


dns_sevice RE 60.19199.14132 UDP:53 © BE  dnssevers 2 r Y] 
http_senice ME 60.191.99.142/32 TCP:80 © mmmn |ntpsevers |2 ea 
— miir 


Æ 6-136 虚 服 务 关 联 的 实 服务 组 


健康 性 检 齐 方法: - Fas a 
(最 多 16 个 ) 
pop3 = 

健康 性 检测 成 功 条 件 : 。 全 部 + ”健康 性 检测 方法 通过 
实 服务 故障 处 理 : 保持 已 有 连接 ~ 
识别 特征 : [ aam 
ACL: ] (2000- 3999) 
EBRE 
ES C) 2698518 

[ae J 取消 


图 6-137 修改 实 服务 组 


(10) 检查 持续 性 

持续 性 就 是 在 一 定时 间 内 将 多 个 具有 相同 特性 或 者 相关 特性 的 连接 持续 发 送 到 同一 个 服 
务 器 ,LB 支持 基于 源 IP、 源 端口 .目的 IP、 目 的 端口 等 多 方式 的 持续 性 ,使 能 持续 性 功能 后 会 ， 
LB 会 生成 一 张 持续 性 表 项 , 排 错 问 题 的 时 候 先 检查 持续 性 表 项 是 否 正确 ,如 果 不 正确 需要 及 
时 调整 持续 性 配置 ,另外 可 以 通过 会 话 查 看 报 文 的 分 发 效果 。 

MS: display load-balance persistence server vd-name root virtual-service 工 工 工 工 

display session table source-ipx. z. z. z destination-ip y. y. y. y verbose 

例如 : 通过 命令 可 以 看 到 LB 已 经 生产 基于 源 IP 的 持续 性 表 项 , 源 IP 是 10. 0. 0. 1 ,对 应 
的 实 服务 是 192. 168. 1. 2, 表 项 的 老化 时 间 是 600 秒 ; 另外 通过 会 话 可 以 看 到 来 着 10. 0. 0. 1 
的 报 文 被 分 发 到 192. 168. 1. 2 这 台 服 务 器 。 


<H3C>system-view 

System View: return to User View with Ctrl 十 Z. 

[H3CJ]_h 

Now you enter a hidden command view for developer's testing, some commands may 

affect operation by wrong use, please carefully use it with our engineer's 

direction. 

[H3C-hidecmd]display load-balance persistence server vd-name root virtual-service http_service 
Persistence method : Source-IP binding 
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Source-IP Real-Server IP Conn-Num Age 
10.0.0.1 192.168.1.2 49 600 
[H3C-hidecmd] quit 


[H3C] display session table source-ip 10.0.0. 1 destination-ip 60.191.99.142 verbose 
Initiator: 

Source IP/Port : 10.0.0.1/50927 

Dest IP/Port : 60.191.99.142/80 

VPN-Instance/VLAN ID/VLL ID: 
Responder: 

Source IP/Port : 192.168. 1.2/80 

Dest IP/Port : 10.0.0. 1/50927 

VPN-Instance/VLAN ID/VLL ID: 


Pro: TCP(6) App: HTTP State: FIN-CLOSE 
Start time: 2013-04-27 06:32:54 TTL: 0s 
Root Zone(in) : 

Zone(out) : 


Received packet(s) (Init): 4 packet(s) 172 byte(s) 
Received packet(s)(Reply) : 4 packet(s) 907 byte(s) 


如 果 持 续 性 表 项 无 法 生成 或 者 不 正确 ,请 登录 到 LB 的 Web 管理 界面 检查 持续 性 的 配置 


是 否 正确 。 


例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “ 负 载 均 衡 ”“ 服 务 器 负载 均衡 ”一 


BESE: [ip senice 
RIIE: ONEWWERARA C LECAATRA 
VPN 实 网: 

60.191.99.142 
庶子 PP 地址 


源 地 址 方式 - 


持续 性 生命 值 : [600 W (10- 604800, Rili = 60) 
连接 数 限 制 : b WOI$IGIOIIKO<CCIKIIOe UU SC T LUT WU 
FRSA: httpsevers ~ 
国 使 能 虚 服 务 
2S (9 为 作 须 填写 项 
确定 BA 


图 6-138 虚 服 务 配置 


(11) 检查 ACL 策略 
在 某 些 应 用 场景 下 ,客户 要 求 将 某 些 特点 的 数据 流 分 发 给 特定 的 服务 器 ,在 LB 上 可 以 通 
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过 ACL 策略 来 实现 ,在 排查 的 过 程 中 可 以 通过 会 话 来 查看 ACL 策略 是 否 生 效 ,如果 不 生效 
需要 仔细 检查 ACL 策略 的 配置 。 
MS: display acl zz 
display session table source-ipx. z. z. z destination-ip y. y. y. y verbose 
例如 : 客户 要 求 将 来 自 10. 0. 0. 10 的 所 有 流量 分 发 给 192. 168. 1. 1 这 台 实 服务 ,命令 行 
下 面 创建 了 一 个 ACL 3001 ,定义 需要 转发 的 流量 ,然后 在 LB WEB 管理 界面 将 ACL 3001 X: 
联 到 192. 168. 1. 1 这 台 实 服务 ,如 图 6-139 所 示 。 


[H3C] display acl 3001 
Advanced ACL 3001, named -none-, 1 rule, 
ACL's step is 5 
rule 0 permit ip source 10.0.0.10 0 (24 times matched) 


权 值 : [oo ] (1- 255, 缺 省 值 = 100) 


优先 级: [oo ] (1- 255, 缺 省 值 = 100) 
最 大 连接 数 限 制 : Ci —  ](0-10485760, 08289] BG(8-0) 


图 6-139 ”修改 实 服务 


然后 在 命令 行 下 面 通过 会 话 查 看 LB 根据 ACL 策略 分 发 的 效果 ,可 以 看 到 LB 已 经 将 
10. 0. 0. 10 的 流量 分 发 给 192. 168. 1. 1 这 台 实 服务 。 


[H3C] display session table source-ip 10.0.0.10 destination-ip 60.191.99.142 verbose 
Initiator: 
Source IP/Port : 10.0.0.10/51007 
Dest IP/Port : 60.191.99.142/80 
VPN-Instance/ VLAN ID/VLL ID: 
Responder: 
Source IP/Port : 192.168.1.1/80 
Dest IP/Port : 10.0.0.10/51007 
VPN-Instance/VLAN ID/VLL ID: 


Pro: TCP(6) App: HTTP State: FIN-CLOSE 
Start time: 2013-04-27 06:40:37 TTL: 2s 
Root Zone(in) : 

Zone(out) : 


Received packet(s) (Init) : 4 packet(s) 172 byte(s) 
Received packet(s)(Reply) : 4 packet(s) 749 byte(s) 


检查 物理 线路 


1 下 性 


IK 10. 
400-310-0504 2 T- $y I 
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Sr S: 负载 
06 安全 产品 sss 负载 Aw DREA 


1. 开始 

Outbound 链 路 负载 均衡 问题 定位 故障 的 思路 是 : 先 检查 物理 链 路 状态 以 确保 负载 均衡 
(以 下 简称 LB) 设 备 与 网 络 的 连通 性 ,检查 健康 性 检测 配置 与 状态 ; 然后 检查 虚 服 务 状 态 ,并 
确认 配置 是 否 正确 ; 最 后 通过 会 话 表 项 确认 分 担 效果 。 如 果 和 希望 对 链 路 分 担 效果 做 进一步 优 
化 ,可 根据 实际 组 网 需求 ,利用 ACL 策略 等 手段 对 调度 结果 进行 修正 。 如 果 LB 设备 未 收 到 
业务 报 文 , 需 网 络 管理 员 从 整 网 流量 转发 路 径 角度 人手 ,对 其 他 网 络 设备 进行 分 析 排 查 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 物理 链 路 状态 

链 路 负载 均衡 实施 业务 流量 调度 的 基础 是 “物理 链 路 ”, 因 此 必须 确保 其 状态 正常 。 在 LB 
Web 管理 页 面 中 ,可 以 查看 到 物理 链 路 的 “下 一 跳 “ 接 口 *“ 状 态 ” 等 信息 ,进行 问题 排查 时 应 
根据 实际 组 网 情况 进行 核对 。 如 信息 存在 错误 或 “状态 ”显示 为 红色 ,Outbound 链 路 负载 均 
衡 将 无 法 使 用 该 链 路 承载 业务 流量 ,此 时 应 对 该 物理 链 路 的 配置 情况 进行 检查 。 

例如 : 在 LB Web 管理 界面 “负载 均衡 一 链 路 负载 均衡 一 物理 链 路 ”中 ,如 图 6-140 所 示 ， 
检查 各 物理 链 路 对 应 的 接口 .下 一 跳 ,状态 等 信息 是 否 正确 。 


健康 性 检测 ”上 行 带宽 上 行 带宽 繁 下 行 带宽 TIRAN HA 
EM VPN 下 器 Ai (Mbps) 伦比 例 %6) (Mbps) titei 成 本 SP WE el 
CNC 17216201 2 100 85 100 85 0 中 国联 通 @ a 6 


Ten- 
CTC | 172.16.10.1 2 100 85 100 85 0 中 国电 信 e GigabitEthernet0/0.10 


= =a =a b = 


Ten- 
LAN 1472312554 0 4000 70 4000 70 0 ° GigabitEthernet0/0.4000 


图 6-140 ”物理 链 路 


(2) 检查 物理 链 路 配置 

“物理 链 路 ”的 配置 包括 名 称 等 诸多 重要 参数 。 物 理 链 路 的 名 称 应 尽量 明确 、 便 于 理解 。 
下 一 跳 通 常 为 LB 三 层 直 联 的 对 端 设 备 接口 地 址 ,与 Internet 互联 链 路 的 下 一 跳 通 常 为 ISP 
线路 网 关 地 址 ,与 内 网 互联 链 路 的 下 一 跳 通 常 为 指向 内 网 方向 的 路 由 表 项 下 一 跳 地 址 。 在 检 
查 下 一 跳 时 ,应 同时 检查 接口 是 否 正 确 。 物 理 链 路 的 名 称 、 下 一 跳 信 息 不 能 编辑 ,如 需 修改 可 
先 将 配置 错误 的 物理 链 路 删除 后 ,重新 创建 一 条 新 的 物理 链 路 。 上 下 行 带 宽 配 置 应 与 ISP 线 
路 提供 的 实际 带宽 值 相符 ; LB 与 内 网 互联 所 对 应 的 物理 链 路 带宽 值 保持 默认 值 即 可 。 带 宽 
繁忙 比例 参数 的 设置 与 带宽 繁忙 保护 功能 相关 ,网 络 管理 员 可 适当 进行 调整 ,但 不 建议 将 比例 
设置 过 高 ,甚至 超过 90% 。 在 ISP 选项 中 ,可 设置 物理 链 路 对 应 的 运营 商 类 型 ,该 功能 必须 在 
导入 专用 ISP 地 址 表 项 文件 后 方 可 启用 ,具体 操作 方法 不 在 本 云图 的 讨论 范围 内 。 一 般 情况 
下 , 除 带 外 管理 端口 外 ,LB 启用 了 多 少 个 三 层 业 务 口 ,就 应 该 配置 多 少 条 物理 链 路 与 之 一 一 
对 应 。 对 于 连接 ISP 的 物理 链 路 ,可 启用 健康 性 检测 功能 以 实时 探测 线路 状态 , 若 健康 性 检查 
功能 探测 失败 ,说 明 该 ISP 线路 可 能 存在 故障 ,LB 将 主动 禁用 该 物理 链 路 ,将 业务 流量 调度 至 
其 他 可 用 线路 ,同时 还 将 向 信息 中 心 输出 线路 “Block” 告 警 日 志 。 健 康 性 检测 功能 支持 在 单条 
物理 链 路 上 同时 启用 多 种 探测 方法 ,通常 设置 为 当 其 中 任 一 种 方法 探测 成 功 时 即 认为 该 线路 
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正常 ,从 而 避免 出 现 频繁 的 线路 阻塞 与 恢复 。 对 于 LB 与 内 网 互联 对 应 的 物理 链 路 , 因 其 稳定 
性 较 好 ,推荐 不 启用 健康 性 检测 以 减少 探测 流量 。 

例如 : Æ LB Web 管理 界面 “负载 均衡 ~ 链 路 负载 均衡 一 物理 链 路 ”中 , 单 击 “ 操 作 ” 列 中 
的 “编辑 "按钮 ,进入 “修改 物理 链 路 ”页 面 ,对 配置 参数 进行 检查 与 修改 ,如 图 6-141 所 示 。 


| | 
HEER: CTC 
VPN R: 
下 一 跳 : 
司 选 检测 方法 
icmp 
BEERNS: tcp_half open < 
(最 多 16 个 ) 
> 
健康 性 检测 成 功 条 件 : | 至少 v| [i F (1-10) 个 健康 性 检测 方法 通过 
š 100 Mbps (1- 10240, 8 mmm 5 % (1-100, 缺 省 值 = 
Es 省 值 = 10240) is Esa 
REER: 100 Mbps (1- 10240, š mwa: 85 J (1-100, #€(8 = 
TERR: 人 Lu a La 
BAME: [o (0- 10240, 缺 省 值 =0) 
ISP: 中 国电 信 v 
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(3) 检查 健康 性 检测 配置 

LB 默认 配置 预定 义 了 *icmp”tcp_half_open”" 两 种 方法 用 于 物理 链 路 的 健康 性 检测 ,启用 
后 LB 默认 向 该 物理 链 路 配置 的 “下 一 跳 ”" 地 址 进行 探测 。 若 网 络 管理 员 和 希望 对 远 端 跨 网 段 的 
其 他 IP 地 址 进行 探测 ,可 自 定 义 检测 方法 并 在 物理 链 路 配置 中 进行 引用 。 若 当前 物理 链 路 为 
失效 状态 ,并 且 引用 了 自 定义 检测 方法 ,那么 就 需要 检查 其 配置 是 否 正确 ,另外 还 要 注意 确认 
被 检测 IP 是 否 能 够 响应 icmp tep_half_open 类 型 的 探测 报 文 。 

例如 : 在 LB Web 管理 界面 “负载 均衡 一 健康 性 检查 ”中 , 单 击 “ 操 作 ” 列 中 的 “编辑 ”按钮 ， 
进入 “修改 健康 性 检查 "页面, 对 配置 参数 进行 检查 与 修改 。 在 图 6-142 中 ,客户 希望 对 CTC 
物理 链 路 除 下 一 跳 地 址 外 ,对 该 线路 相应 的 DNS 服务 器 可 达 性 做 同步 探测 ,服务 器 IP 地 址 以 
X. X. X. X 示意 。 


修改 健康 性 检测 


misa: 10 秒 (1- 259200, 8@(8 = 5) 


EA: B ë Jë (1-360, 缺 省 值 =3) 
重 i 式 次 数 : B ü Jaw 86(8=3) 
检 列 目的 IPib 直 :XXX ] 
ES (0 为 必须 请 写 项 
ae | ma 
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(4) 检查 物理 线路 可 达 性 
查看 LB 设备 的 ARP、 路 由 表 等 网 络 可 达 性 信息 ,通过 ping 测试 等 方法 确认 LB 与 其 他 网 
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络 设备 互联 互通 正常 。 需 注意 : 即使 正常 状态 下 LB 接收 业务 流量 后 是 通过 查找 虚 服务 并 调 
度 转发 的 ,但 依然 要 确保 LB 上 正确 学 习 了 全 部 的 网 络 可 达 性 信息 ,比如 为 LB 配置 了 完整 的 
静态 路 由 表 。 

命令 : display arp 

例如 : 在 CLI 界面 查看 ARP 表 项 学 习 是 否 正 确 ,IP 对 应 MAC 地 址 是 否 正确 。 


[H3C] display arp 
Type: S-Static D-Dynamic 


IP Address MAC Address VLANID Interface Aging Type 
172.16.10.1 000f-e280-de93 N/A XGE0/0.10 20 D 
172.16.20.1 000f-e280-de93 N/A XGE0/0.20 20 D 
172.31.255.1 3ce5-a682-c521 N/A XGE0/0.4000 20 D 


(5) 检查 端口 状态 

检查 LB 各 三 层 接口 的 速率 、 双 工 协商 状态 及 对 端 状态 是 否 正常 ,接口 收发 报 文 统计 是 否 
合理 ,是 否 存在 错 包 , 是 否 存 在 大 量 TTL 超时 报 文 (通常 是 路 由 环 路 造成 ) 等 。 插 卡 形态 的 LB 
主要 利用 与 宿主 路 由 交换 主机 的 内 联 万 兆 口 承载 业务 流量 ,推荐 采用 三 层 子 接口 的 部 署 方式 
并 使 能 子 接口 速率 统计 功能 ,从 而 使 LB 插 卡 也 可 以 实时 统计 承载 在 各 个 子 接口 上 的 业务 流 
量 带 宽 使 用 情况 。 


MA: display inter face interface-type inter face-number 


例如 : 在 CLI 界 面 查看 LB 插 卡 内 联 口 状态 , 子 接口 速率 统计 功能 已 使 能 。 


<H3C> display interface Ten-GigabitEthernet 0/0 
Ten-GigabitEthernet0/0 current state: Up 
Line protocol current state: Up 
Description: Ten-GigabitEthernet0/0 Interface 
The Maximum Transmit Unit is 1500 
Internet protocol processing : disabled 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 3ce5-a613-ff0c 
IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 3ce5-a613-ff0c 
Media type is twisted pair, loopback not set, promiscuous mode not set 
10Gb/s, Full-duplex, link type is force link 
Output flow-control is disabled, input flow-control is disabled 
Last clearing of counters: Never 
Peak value of input: 15677 bytes/sec, at 2000-4-26 15:23:11 
Peak value of output: 15606 bytes/sec, at 2000-4-26 15:23:11 
Last 5 seconds input rate 12994 bytes/sec, 103952 bits/sec, 127 packets/sec 
Last 5 seconds output rate 13015 bytes/sec, 104120 bits/sec, 127 packets/sec 
Input: 36427 packets, 0 jumboes, 2742408 bytes, 36427 buffers 
16014 broadcasts, 14412 multicasts, 0 pauses 
0 errors, 0 runts, 0 giants 
0 cre, 0 align errors, 0 overruns 
0 dribbles，0 drops, 0 no buffers 
Output:9822 packets, 787464 bytes, 9822 buffers 
3826 broadcasts, 0 multicasts, 0 pauses 
0 errors, 0 underruns，0 collisions 
0 deferred, 0 drops, 0 lost carriers 


<H3C>display interface Ten-GigabitEthernet 0/0. 10 
Ten-GigabitEthernet0/0.10 current state: Up 

Line protocol current state: Up 

Description: Ten-GigabitEthernet0/0.10 Interface 
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The Maximum Transmit Unit is 1500 
Internet Address is 172.16.10.254/24 Primary 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 3ce5-a613-ffoc 
IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 3ce5-a613-ff0c 
Last clearing of counters: Never 
Last 5 seconds input rate : 73 packets/sec , 7486 bytes/sec 
Last 5 seconds output rate : 76 packets/sec , 7772 bytes/sec 
Input : 2603 packets , 264346 bytes 
Output: 3566 packets , 363452 bytes 


(6) 检查 虚 服 务 状态 

在 Outbound 链 路 负载 均衡 中 , 当 LB 接收 到 业务 报 文 后 ,会 首先 将 其 与 当前 会 话 表 项 进 
行 查找 匹配 , 若 不 能 与 任何 一 条 会 话 表 项 匹配 ,LB 会 将 该 报 文 与 所 有 状态 可 用 的 虚 服务 进行 
匹配 ,以 决定 最 终 通 过 哪 条 虚 服 务 执行 调度 并 创建 会 话 表 项 。 若 排查 时 发 现 某 条 虚 服 务 呈 不 
可 用 状态 (红色 ), 则 该 虚 服 务 将 不 能 用 于 上 述 指导 业务 流量 调度 的 工作 。 

在 问题 分 析 时 ,网 络 管理 员 可 以 预先 判断 业务 流量 将 通过 哪 条 虚 服 务 进行 调度 ,具体 方法 
如 下 : 假设 当前 有 多 条 虚 服 务 均 处 于 可 用 状态 ,可 将 新 发 起 连接 的 业务 首 报 文 与 “IP 地 址 方 
式 ”“ACL 方式 ”中 配置 的 全 部 虚 服 务 进行 比 对 ,推断 报 文 将 命中 哪个 虚 服 务 进行 调度 。 前 者 
执行 最 长 匹配 方式 ,后 者 执行 优先 级 顺序 匹配 方式 , 且 IP 地 址 方式 虚 服务 总 体 优先 于 ACL 方 
式 虚 服务 ,特别 地 ,进行 虚 服 务 匹 配 时 ,如 果 LB. 上 当前 还 有 生效 的 服务 器 负载 均衡 虚 服 务 , 则 
必须 将 这 类 虚 服 务 与 IP 地 址 方式 的 虚 服 务 合并 后 按 最 长 匹配 方式 进行 匹配 。 如 果 LB 上 配 
HA NAT Outbound, LB 处 理 顺 序 为 先 执行 调度 后 做 NAT; 如 果 LB 上 配置 有 NAT Server, 
LB 的 处 理 顺序 为 先 做 NAT 后 执行 调度 ; NAT Static 在 Outbound 方向 与 前 者 处 理 顺 序 相 
同 , 在 反方 向 与 后 者 处 理 顺 序 相同 。 

例如 : 在 LB 设备 Web 管理 界面 “负载 均衡 链 路 负载 均衡 Outbound 习 虚 服 务 ”" 中 , 检 
查 虚 服 务 状态 。 在 图 6-143 中 ,假设 未 配置 “ACL 方式 ” 虚 服 务 和 服务 器 负载 均衡 虚 服 务 , 则 
业务 流量 都 将 以 会 话 首 报 文 目的 IP 地 址 与 虚 服 务 执行 最 长 匹配 “VS_LAN” 对 应 目标 地 址 为 
内 网 IPAO. 0. 0.0/8) 的 会 话 流量 ,“VS_Internet” 对 应 其 余 所 有 会 话 流量 。 


Tiia Banisia = kiam 


BRSURAR: ”@ IP 地 址 方式。 〇 AcL 方 式 
R 虚 服务 名 v| =a asra 


O assa WN amani DAR we e ea pria Sama Heia 


[DJ vs_Intemet 00000 48:0 e HL 使 能 使 能 logic_Internet 2 


DaD rh 


VS_LAN 10.0.0.083 任意 :0 @ | 禁止 | 禁止 ME logic lan |1 
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(7) 检查 逻辑 链 路 组 配置 

在 出 方向 链 路 负载 均衡 中 ,每 个 逻辑 链 路 组 与 虚 服 务 一 一 对 应 。 若 逻辑 链 路 组 中 仅 包 含 
一 条 逻辑 链 路 ,调度 算法 选择 默认 的 “轮转 ”算法 即 可 ; 若 逻辑 链 路 组 中 包含 两 条 或 两 条 以 上 
逻辑 链 路 ,调度 算法 建议 选择 * 源 地 址 散 列 ,以 确保 来 自 内 网 同一 个 源 IP 发 起 的 业务 流量 不 
会 被 分 散 调度 至 多 条 ISP 线路 ,避免 网 银 类 应 用 出 现 问题 (此 类 应 用 通常 在 整个 交互 过 程 中 不 
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允许 客户 端 地 址 出 现 变 化 ) 。 其 他 调度 算法 常用 于 服务 器 负载 均衡 场景 ,在 Outbound 链 路 负 
载 均 衡 中 很 少 采 用 。“ 逮 辑 链 路 故障 处 理 ” 采 用 默认 配置 “保持 已 有 连接 * 即 可 。 高 级 配置 中 的 
“温暖 上 线 ” 功 能 也 主要 用 于 服务 器 负载 均衡 场景 ,在 Outbound 链 路 负载 均衡 中 建议 不 使 能 。 

例如 : 在 LB 设备 Web 管理 界面 “负载 均衡 ~ 链 路 负载 均衡 Outbound 习 逻辑 链 路 组 ” 
中 ,检查 逻辑 链 路 组 配置 情况 ,如 图 6-144 所 示 。 


过 部 树 路 RS 统计 信息 
Baiga v| Sm || 高 织 查 询 


A 调度 算法 N] SRNA 操作 
logic_Intemet 源 地 址 散 列 保持 已 有 连接 2 e 
logic_lan 轮转 保持 已 有 连接 1 ea 
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例如 : 车 配置 存在 错误 ,可 单 击 “ 操 作 ” 列 中 的 “编辑 ”按钮 ,进入 “修改 逻辑 链 路 组 ”页 面 ， 
重新 进行 配置 ,如 图 6-145 所 示 。 


修改 逻辑 镑 路 组 


BAA: logic Internet 

调度 算法 : 源 地 址 散 列 v 

SENAN: [保持 已 有 连接 ë V] 

-ASRA 
o 使 能 温暖 上 线 
准备 时 间 5 |ø (0-600, 缺 省 值 =5) 
Aghia: [5 W (3-600, B@(8 = 5) 
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(8) 检查 迎 辑 链 路 配置 

在 Outbound 链 路 负载 均衡 中 ,逻辑 链 路 主要 用 于 在 物理 链 路 与 逻辑 链 路 组 之 间 建 立 联 
系 , 实 现 单条 物理 链 路 可 被 多 个 不 同 “ 逻 辑 链 路 组 一 一 虚 服 务 " 所 引用 。 在 进行 配置 检查 时 , 需 
重点 查看 逻辑 链 路 所 加 入 的 逻辑 链 路 组 及 其 对 应 的 物理 链 路 是 否 准确 ,是 否 符合 组 网 预期 。 
若 逮 辑 链 路 上 配置 了 ACL 策略 , 则 LB 在 进行 选 路 调度 时 ,会 根据 ACL 规则 强制 将 新 建 会 话 
流量 从 这 条 逻辑 链 路 所 对 应 的 物理 链 路 上 发 送 。 在 其 他 配置 参数 中 , 权 值 ?常用 于 表达 同一 
运营 商 多 条 线路 之 间 的 带宽 比 。 通 过 “ 权 值 ”与 “ISP 选 路 "功能 “ 源 地 址 散 列 ?算法 相互 配合 ， 
LB 可 以 实现 将 业务 流量 调度 至 同一 运营 商 提供 的 多 条 物理 链 路 时 , 按 带 宽 比 进行 分 担 。“ 优 
先 级 "参数 用 于 和 “本 地 优先 级 ”调度 算法 配合 使 用 , 若 未 使 用 该 调度 算法 , 则 “优先 级 "参数 保 
持 默 认 值 即 可 。“ 最 大 连接 数 限制 "参数 可 以 控制 单个 逻辑 链 路 上 分 担 的 最 大 会 话 数 , 默 认 设 
置 为 "0" 表 示 不 作 限 制 。“ 状 态 ” 表 达 了 该 逻辑 链 路 当前 是 否 能 够 分 担 业 务 流量 ,正常 情况 为 
“绿色 ?可 用 状态 , 需 注 意 ,如果 未 配置 或 未 使 能 其 所 属 逻辑 链 路 组 对 应 的 虚 服 务 ,或 启用 了 高 
级 配置 中 的 “使 能 慢 宕 “立即 停止 服务 “停止 调度 ”等 选项 时 ,逻辑 链 路 的 当前 状态 将 转变 为 
其 他 非 正常 状态 。 

高 级 配置 中 的 “使 能 慢 宕 "选项 启用 后 ,逻辑 链 路 将 仅 处 理 已 经 分 配 至 本 线路 转发 的 会 话 
流量 ,LB 不 会 再 向 本 逻辑 链 路 调度 新 的 会 话 流量 ; 当 人 逻辑 链 路 上 已 有 会 话 全 部 老化 后 ,本 人 罗 
辑 链 路 即 平滑 退出 逻辑 链 路 组 ,从 而 避免 业务 流 受 影响 。 相 对 地 ,如 果 启 用 “立即 停止 服务 ” 选 
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项 ,本 逻辑 链 路 将 立刻 停止 所 有 转发 。“ 停 止 调度 ”选项 启用 后 ,本 逻辑 链 路 将 不 再 参与 就 近 
性 、ISP 选 路 和 算法 调度 ,此 时 只 能 通过 ACL 策略 牵引 业务 流量 经 本 线路 转发 ,相当 于 将 该 逻 
辑 链 路 对 应 的 物理 链 路 视 为 “专线 ?使 用 ,不 再 参与 动态 调度 。 关 于 上 述 高 级 选项 的 详细 配置 
指导 可 查询 LB 产品 用 户 手册 。 

例如 : 在 LB 设备 Web 管理 界面 “负载 均衡 ~ 链 路 负载 均衡 Outbound 习 逻辑 链 路 ”中 ， 
检查 逻辑 链 路 配置 情况 ,检查 其 状态 是 否 正常 ,如 图 6-146 所 示 。 


BRE HORE RAR BRET BENRA DME — ACL 操作 

O logic _CNC ° 100 400 0 logic_Internet CNC s 
1 j e 
logic_CTC @ 10 10 0 logic_Internet CTC 3 

[O !togic_LAN ° 100 100 0 logic_lan LAN s 
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例如 : 车 发 现 配 置 有 误 , 可 单 击 “ 操 作 ” 列 中 的 “编辑 ”按钮 ,进入 “修改 逻辑 链 路 "页面, 重 
新 设置 逻辑 链 路 的 各 项 参数 ,如 图 6-147 所 示 。 


BRE: faccre ë ë) 
权 值 : Ç o — ](1-255, B@l8= 100) 
优先 级 : 100 (1-255, ŝi = 100) 
BAERS: b |(O- 10485760, 0 赤 示 不 限制 , Big — 0) 
所 属 轩 可 镑 路 组 : logic_Internet v| 
PEDIA: CTC v 
ACL: (2000- 3999) 
ESRA 

o WERE 

口 立即 停止 服务 

口 停止 调度 
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(9) 检查 虚 服 务 配置 

Outbound 链 路 负载 均衡 根据 虚 服务 匹配 方式 ,分 为 "IP 地 址 方式 “ACL 方式 ”两 种 。 前 
者 将 会 话 首 报 文 中 目的 IP 地 址 与 “ 虚 服务 IP 地 址 / 掩 码 ”( 包 含 服务 器 负载 均衡 中 配置 的 全 
部 虚 服务 ) 执 行 最 长 匹配 ,以 决定 该 新 建 会 话 将 按 哪 条 虚 服 务 进行 调度 ,这 个 过 程 与 路 由 器 执 
行 三 层 转发 时 查找 路 由 表 类 似 ; 而 后 者 则 将 ACL 规则 按 优先 级 顺序 与 会 话 首 报 文 进行 匹配 ， 
以 决定 该 新 建 会 话 将 按 哪 条 ACL 所 对 应 的 虚 服务 进行 调度 。 因 此 ,在 进行 配置 检查 时 ,除了 
检查 虚 服务 状态 是 否 正 常 、 对 应 的 逻辑 链 路 组 等 配置 是 否 正确 ,是否 与 服务 器 负载 均衡 虚 服务 
存在 冲突 以 外 ,对 于 “IP 地 址 方式 ”类 型 的 虚 服务 ,还 应 重点 检查 虚 服 务 IP 地 址 / 掩 码 ,协议 类 
型 端口 号 是 否 正确 ,对 于 “ACL 方式 ?类 型 的 虚 服 务 ,还 应 重点 检查 虚 服务 对 应 的 ACL 规则 
是 否 正确 ,优先 级 设置 是 否 合理 等 。 

B“ IP 地 址 方式 ” 虚 服 务 更 优先 ,为 避免 配置 冲突 ,不 建议 同时 使 用 “IP 地 址 方式 ”和 
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“ACL 方式 "进行 虚 服务 配置 。 若 当前 设备 软件 版 本 支持 ,推荐 使 用 *ACL 方式 ”进行 配置 ,在 
引用 的 ACL 规则 中 应 该 尽 可 能 精确 (如 指定 业务 发 起 方 源 IP 地 址 / 掩 码 ) ,避免 无 关 业 务 或 攻 
击 流量 匹配 虚 服务 后 ,被 LB 执行 调度 ,浪费 资源 与 带宽 。 

Outbound 链 路 负载 均衡 中 ,LB 通过 多 种 方式 决策 业务 流量 最 终 将 调度 至 哪 条 物理 链 路 
时 ,优先 顺序 由 高 至 低 依次 为 : 持续 性 二 ACL 策略 之 就 近 性 之 ISP 表 项 之 调度 算法 。 

关于 “就 近 性 ”ISP 选 路 “ 链 路 带宽 繁忙 保护 ”等 高 级 特性 的 配置 指导 及 应 用 场景 ,可 查 
询 LB 产品 用 户 手 册 。 

例如 : 在 LB 设备 Web 管理 界面 “负载 均衡 一 链 路 负载 均衡 Outbound 一 虚 服 务 ” 中 , 检 
查 虚 服务 配置 。 在 图 6-148 中 ,采用 “IP 地 址 方式 ”进行 配置 ,“VS_LAN” 对 应 目标 地 址 为 内 
网 IP(10. 0. 0.0/8) 的 会 话 流量 ,“VS_Internet” 对 应 其 余 所 有 会 话 流量 。 


aiil BRNE 统计 信息 
虚 服务 匹配 方式 : 。 国 IP 地 址 方式。 OAC 
R ERSE v[ mm egsa 


m mA 
VPN ERBIN 协议 类 型 pa wna BE en anna 
D ARSE za iaa ROS BO i St giae Se a 


O vs_Intemet 00000 ”任意 :0 o 禁止 使 能 使 能 logic_Internet 2 


[一 


口 vs_LAN 10.0.0.0/8 ”任意 :0 @ 禁止 禁止 禁止 logiclan 1 
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例如 : 若 发 现 配 置 有 误 ,可 单 击 * 操 作 ? 列 中 的 “编辑 ”按钮 ,进入 "修改 虚 服务 "页面 ,重新 
设置 虚 服务 的 各 项 参数 。 部 分 配置 不 支持 直接 修改 ,可 删除 后 重新 创建 虚 服务 ,如 图 6-149 
所 示 。 


enans | 
虚 服 务 名 : Msjnemet  ] 
ERAR: * PHS ACLS 
VPN 实 例 : | 
虚 服务 IP 地 址 : .0.000 | 
R: p  ] 
W: w 
aos: p | 
持续 性 方法 : v 
连接 不 限制 。 p (0- 104895760， 0 表示 不 限制 , 摧 省 值 =0) 
SRNA: logic_Internet V 
2 使 能 庶 服 务 
使 能 就 近 性 
使 能 ISP 计 路 
加 PENSAREM 


图 6-149 虚 服 务 配置 


(10) 查询 是 否 建立 会 话 表 项 
通过 查看 LB 会 话 表 项 信息 .可 以 观察 业务 流量 在 LB 上 的 具体 调度 情况 。 为 了 更 直观 地 
判断 报 文 的 入 /出 端口 ,可 以 利用 安全 区 域 特性 : 将 LB 内 网 接口 加 入 “LAN” 区 域 ,将 各 个 ISP 
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接口 分 别 加 入 诸如 “CTC”“CNC”“CMCC” 等 区 域 .查看 会 话 表 项 详细 信息 时 , 便 可 以 通过 源 / 
目的 安全 区 域 得 知 这 条 业务 流 是 从 哪个 端口 主动 发 起 ,以 及 LB 将 其 调度 至 哪个 ISP 线路 发 
He RAME TF, LB 的 业务 端口 未 添加 安全 区 域 属性 ,但 不 影响 报 文 的 正常 转发 ,这 一 点 与 
防火 墙 设备 有 很 大 不 同 。 

E LB 设备 上 无 法 查找 到 业务 流 对 应 的 会 话 表 项 , 需 确认 业务 报 文 是 否 已 经 发 出 。 一 种 
常见 原因 是 整 网 业务 流量 规划 错误 ,造成 业务 报 文 未 经 过 LB 转发 。 

例如 : 在 LB 设备 Web 管理 界面 “安全 特性 一 会 话 管理 一 会 话 列表 ”中 ,设置 查询 条 件 为 
会 话 发 起 方 源 IP 地 址 10. 255. 254. 101, 然 后 单 击 “查询 ”按钮 , 即 可 查询 对 应 的 会 话 表 项 。 本 
例 中 ,如 图 6-150 所 示 ,可 以 观察 到 源 IP 地址 10. 255. 254. 101 向 目的 全 地 址 10. 255. 254. 13 主 
动 发 起 了 一 个 ICMP 协议 的 数据 流 。 


gn: | 发 起 方 源 IP 地 址 V| IP 地 址 : |10.255 254.101 查 间 

XENI TENI Fa 
口 ”发起 方 源 |P 地 址 发 起 方 目的 IP 地 址 VLAN/ 响应 方 源 |P 地 址 响应 方 目的 IP 地 址 VLAN / 协议 SERS 时 作 
INLINE INLINE w 


a 
口 10255.254 1012048 10.255.254.13:16 — 4025525443 10.255.254.101:16 —  |ICMP|IONP. 029 他 
CLOSED ® g 


图 6-150 发 起 方 源 IP 地 址 


例如 : 通过 单 击 “ 操 作 ? 列 中 的 “查看 ”按钮 ,进入 “会 话 详细 信息 ?页面 , 在 该 页 面 中 可 以 观 
察 到 这 条 数据 流 的 接收 处 理 情况 。 如 图 6-151 所 示 , 通 过 安全 区 域 信息 ,可 以 得 知 LB 从 
“LAN? 区 域 对 应 端口 接收 了 会 话 正 向 报 文 ,并 将 流量 调度 至 “CTC” 区 域 对 应 端口 发 出 ; LB 也 
正常 接收 处 理 了 会 话 反 向 报 文 , 正 反方 向 报 文 个 数 均 为 3868 个 。 


| 会 活 详 细 信 息 
Protocol: ICMP State ICMP-CLOSED TTL (S) 30 
Initiator: VD / ZONE / VPN / IP / PORT Responder. VD/ZONE /VPN/IP/PORT_ Packets Bytes 
Root1LAN /一 110.255 254 10112048 ”一 一 一 > Root/ CTC /一 110.255.254.13116 3868 324912 
Root/ LAN /一 110.255.254.101116 ` ase] Root/ CTC /一 110.255254.1310 3868 ”324912| 
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(11) 检查 业务 转发 路 径 

车 业务 报 文 确 已 发 出 ,但 LB 设备 上 始终 无 法 查询 到 对 应 的 会 话 表 项 , 则 通常 是 由 于 业务 
流量 实际 未 经 LB 转发 导致 。 针 对 这 种 情况 ,建议 从 业务 发 起 方 开始 ,对 整 网 流量 路 径 规划 进 
行 逐 跳 检 查 。 

(12) 是 否 符合 负载 均衡 预期 

网 络 管理 员 利 用 会 话 表 项 信息 可 以 确认 实际 业务 经 过 LB 调度 后 的 转发 情况 。 利 用 虚 服 
务 统计 信息 可 以 观察 各 物理 链 路 的 带宽 使 用 情况 ,其 中 “入 方向 ” 指 会 话 表 项 正方 向 ,“ 出 方向 ” 
指 会 话 表 项 反方 向 。 以 内 网 访问 Internet 的 “全 零 ”* 虚 服务 为 例 ,“ 入 方向 ” 即 内 网 访问 
Internet 的 上 行 流量 方向 ,“ 出 方向 ” 即 从 Internet 返回 的 下 行 流量 方向 。 

例如 : 如 图 6-152 所 示 , 在 LB 设备 Web 管理 界面 “负载 均衡 ~ 链 路 负载 均衡 Outbound 王 
统计 信息 ”页 签 中 ,可 以 直观 地 看 到 “OutLB” 虚 服务 所 包含 的 四 条 逻辑 链 路 的 流量 分 担 情况 。 
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-过细 O SMS O S 
F. RESE > MED sems 
Eco E SENERARE E E ATREZIO EARE s 
fous 311482256 878501300069 100976253 12583320082 / 9281 15193343905 0 
Wawapa 
BRE SERM  SiNERNERMEE 黎 ) NO aam EAS AAMEE (kbps) AAEE (kbps) 
ewnatetecomo1 15367953 28346191192 29112355 703466846 877055670 65145 855819 
[hinaunicomot 80939602 23993/90903 28312529 3538439679 4353686392 44556 161331 
|eninaunicomo2 126998423 304091123718 33412990 4519610231 5330951386 58669 192756 
[eninaunicomos 13571463 4579119505 1011881 661444210 812342380 6595 23351 
所 
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(13) ACL 策略 及 调度 算法 优化 

若 业务 调度 不 符合 组 网 规划 预期 ,网 络 管理 员 可 以 通过 调整 ACL 策略 .调度 算法 等 手段 
对 调度 效果 进行 调整 。 例 如 ,客户 希望 内 部 服务 器 区 网 段 所 有 访问 Internet 的 流量 都 固定 从 
某 条 物理 链 路 发 出 ,可 通过 配置 ACL 策略 实现 。 

一 般 场景 下 ,Outbound 链 路 负载 均衡 的 推荐 部 署 方案 为 : 以 ACL 方式 进行 虚 服 务 配置 ， 
指向 Internet 的 虚 服务 引用 匹配 源 IP 为 内 网 地 址 的 ACL 规则 ,指向 内 网 的 虚 服务 引 用 匹配 
目的 IP 为 内 网 地 址 的 ACL 规则 ,为 连接 Internet 的 物理 链 路 选择 对 应 的 ISP 属性 并 启用 
“ISP 选 路 ”特性 ,启用 链 路 带宽 繁忙 保护 功能 ,调度 算法 选择 “ 源 地 址 散 列 ”, 针 对 需要 固定 转 
发 路 径 的 流量 通过 ACL 策略 手工 指定 其 分 担 线路 。“* 持 续 性 “就 近 性 ”功能 无 须 启用 。 具 体 
配置 指导 可 查询 LB 产品 用 户 手册 。 

对 于 复杂 组 网 需求 , 需 灵 活 运 用 LB 产品 各 功能 特性 ,可 及 时 向 H3C 技术 支持 工程 师 
咨询 。 
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名 健 康 性 检测 故障 排查 


一 》 过 元 上 - 步 结 4r 


Ge) ---y 志 示 上 - 步 结果 出 现 问题 
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LB 通过 健康 性 检测 实时 监控 服务 器 或 者 链 路 的 状态 .以 保证 整个 业务 的 高 可 靠 性 。 以 
服务 负载 分 担 为 例 ,健康 性 检测 定位 故障 的 思路 是 : 先 查看 实 服务 状态 ,然后 检查 虚 服务 状态 
是 否 使 能 ,接着 检查 实 服务 及 其 健康 性 检测 配置 ,再 检查 服务 器 路 由 ,最 后 检查 服务 器 的 端口 、 
应 用 程序 等 是 否 正常 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 实 服务 状态 

LB 通过 健康 性 检测 实时 监控 各 实 服务 的 状态 ,状态 正常 的 实 服务 显示 绿灯 看 .一旦 检测 
到 实 服务 故障 或 者 人 为 停止 服务 ,就 显示 为 红 灯 仿 ,如 果 使 实 服 务 进入 慢 宕 状态 , 实 服务 显示 
红 绿 相间 的 灯 心 。LB 不 会 向 故障 的 实 服务 分 发 流量 ,在 日 常 维护 过 程 中 要 及 时 关注 实 服务 
的 状态 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “ 负 载 均衡 "一 “服务 器 负载 均衡 "一 
“IPv4 协议 ”, 单 击 * 实 服务 ”页 签 , 如 图 6-153 所 示 , 可 以 看 到 dnsserverl 和 dnsserver2 状态 不 
正常 ,httpserverl 开启 了 慢 宕 ,httpserver2 的 状态 正常 。 


实 服务 名 - Nm snra 
m ms Zi — wna | gs | em RAR BATRNRI TRSA ACL MUMS 损 作 


E ansseert 3439246843 s j° 100 400 0 dnsservers 与 实 服务 组 -至 AA 
E anssever2 192.168.1.4 s js 100 100 0 dnsseners 与 实 服务 组 一 殊 命 自 
E) mapserver1 192.168.1.1 80 ° 100 400 ° httpservers 与 实 服务 组 - 私 (g 
@ hipsener2 192.168.1.2 8 je 100 ° hapservers 与 突 服务 组 一 狼 命 自 


图 6-153” 实 服务 


(2) 检查 虚 服 务 配置 

对 于 服务 器 负载 分 担 , 只 有 使 能 虚 服 务 以 后 才 会 触发 实 服务 的 健康 性 检测 ,否则 实 服务 一 
直 显 示 红 灯 。 所 以 ,如 果实 服务 的 状态 不 正常 ,请 首先 检查 虚 服 务 是 否 已 经 使 能 ,如 果 已 经 使 
能 , 则 状态 显示 绿灯 三 ; 如 果 虚 服务 没有 使 能 则 状态 显示 红 灯 仿 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “ 负 载 均 衡 "*>“ 服 务 器 负载 均衡 "一 
“IPv4 协议 ”, 先 单 击 * 虚 服务 "页 签 ,然后 单 击 对 应 虚 服务 后 面 的 编辑 按钮 进入 虚 服 务 的 配置 
界面 ,如 图 6-154 所 示 , 可 以 看 到 dns_service 这 个 虚 服 务 没有 使 能 ,状态 显示 红 灯 ; http_ 
service 这 个 虚 服 务 已 经 使 能 .状态 显示 绿灯 。 

如 果 虚 服务 没有 使 能 ,可 以 单 击 虚 服 务 后 面 的 编辑 按钮 进入 虚 服 务 配置 界面 使 能 虚 服 务 ， 
如 图 6-155 和 图 6-156 所 示 。 

(3) 检查 实 服务 配置 

如 果 确 认 虚 服务 状态 已 经 使 能 ,需要 仔细 检查 实 服务 的 IP 地 址 .端口 等 配置 是 否 正确 ,有 
没有 被 人 为 停止 服务 。 
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wima | 

Emp 
D mese RSS VPNZM swspehka XAR N| 状态 | egat amsa sms sr 
I) dns_senice ME 604919944132  UDP:53 O | 网 络 地 址 转换 dnssevers 2 ea 
E htp_sevice RE 604919944232 TCP:80 © 。 | 网 络 地 址 转换 htpsevers 2 e 

m 
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E £ te 
虚 服 务 名 DE EPA] 
O smsa Roe VNA SRSPMIS POAR pe mat — 实 服务 组 SESA 操作 
| 回 ons_semce ME 60.191.99.14132 UDP:53 © 网 络 地 址 转换 onssevers 2 Y] 
E htp_sevice PIE 60.191.99.14232 TCP:80 图。 网 络 地 址 转换 htpservers 2 
m | 用 和 it 中 | 
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aesa: [Es ] 
mnam: 加 四 协议 及 应 用 识别 C CEEMATRA 


源 地 址 地 : [ J: 《地址 邮 最 大 长 大 为 255) 


ERARD: p | (0- 10485760, 0872-4489], P'G(8- 0) 


图 6-156 ”修改 虚 服务 


例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 * 负 载 均 衡 ” 一 “服务 器 负载 均衡 ”一 
“IPv4 协议 ”, 先 单 击 * 实 服务 ”页 签 , 然 后 单 击 对 应 实 服务 后 面 的 编辑 按钮 进入 实 服务 的 配置 
界面 ,如 图 6-157 和 图 6-158 所 示 ,看 到 实 服务 httpserverl 的 IP 地 址 .端口 配置 正确 ,健康 性 
检测 方法 和 实 服务 组 一 致 。 

(4) 检查 健康 性 检测 

LB 服务 器 负载 中 ,每 个 实 服务 可 以 配置 单独 的 健康 性 检测 方法 ,也 可 以 和 所 属实 服务 组 
的 健康 性 检测 方法 一 致 ,需要 根据 配置 对 相应 的 健康 性 检测 方法 进行 排查 。 例如: 对 于 
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(C RG J| sos 
D sms AESP MOS BS NE NAR BASRI TRMA ACL 。 健康 性 检测 方法 所作 


加 dnssevert 192.168.1.3 3 ° 100 400 9 anssemvers 与 区 服务 组 - 致 (@ 3 

E snssever2 19216814 s ° 100 400 ° anssevers 与 实 服务 组 -至 3 

httpsenert 19216811 s @ 1%0 1 0 htipservers 与 实 服务 组 -至 ej 

F) htpsemer2 192.168.1.2 80 ° 100 100 ° httpservers 与 实 服务 组 一 致 合生 
LR 和 中 
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RA: C 缺 省 值 =100) 
优先 级 : Poo ] (1- 255, 缺 省 值 = 100) 
最 大 连接 数 限制 : 0 《0- 10485760, 0822-4891, 缺 省 值 =0) 
所 属实 服务 组 : httpservers ~ 
ACL: 《2000- 3999) 
EIRE 

MERASA: 与 实 服务 组 一 致 ~ 

ERRE 

立即 停止 服务 

S (*) 为 必须 填写 项 
i Caz J ma | 
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ICMP 检测 方法 ,需要 检查 目的 地 址 是 否 正确 、LB 到 实 服务 路 由 是 否 可 达 , 服 务 器 是 否 允 许 
ping 等 操作 ; 对 于 HTTP 检测 方法 ,需要 检查 服务 地 址 、 下 载 文 件 的 路 径 和 文件 名 称 是 否 正 
确 , 对 于 FTP 检测 方法 ,需要 检查 FTP 服务 的 地 址 、 登 录用 户 名 /密码 ,文件 路 径 和 文件 名 称 
是 否 正 确 ( 默 认 情 况 下 LB 健康 性 探测 的 目的 IP 地 址 就 是 实 服 务 的 IP 地 址 ,还 支持 手工 
配置 )。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 选择 “负载 均衡 "一 “服务 器 负载 均衡 "一 
“IPv4 协议 ”, 单 击 * 实 服务 ?页 签 ,然后 单 击 对 应 实 服务 后 面 的 编辑 按钮 进入 实 服务 的 配置 界 
面 , 看 到 httpserverl 这 个 实 服务 的 健康 性 检查 选择 的 类 型 和 实 服务 组 一 致 ,再 单 击 “ 实 服务 
组 ”页 签 ,查看 实 服务 组 的 健康 性 检测 类 型 是 ICMP, 然 后 进入 LB 的 健康 性 检测 配置 页 面 检查 
ICMP 的 相关 配置 参数 。 同 样 的 方法 ,可 以 调整 HTTP、FTP 等 健康 性 检测 方法 的 参数 ,过 程 
如 图 6-159 一 图 6-163 所 示 。 

(5) 检查 实 服务 路 由 

LB 健康 性 探测 报 文 以 自己 的 接口 地 址 有 源 地 址 , 实 服务 的 IP 地 址 为 目的 地 址 ,要 保证 健 
康 性 检测 正常 ,LB 到 实 服务 的 路 由 必须 正常 。 排 查 问题 时 要 注意 检查 LB 到 实 服务 的 路 由 ， 
或 者 通过 ping 简单 测试 一 下 到 实 服务 的 可 达 性 。 


命令 : display ip routing-table x. x. x.x 
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RE: 100 (1-255, B@(8 = 100) 
优先 级 : 100 (1-255, RSA = 100) 
最 大 连接 数 限 制 |: 0 《0- 10485760，0 来 示 不 限制 ， 缺 省 值 =0) 
所 属实 服务 组 : httpsevers ~ 
ACL: 《2000- 3999) 
-SERA 
健康 性 检测 方法 与 实 服务 组 一 致 ~ 
回 RKE 
F! 立即 停止 服务 
ES (C) 为 必须 请 写 项 


实 服务 组 名 ; 


健康 性 检测 方法 : 
(最 多 16 个 ) 


图 6-159 ”修改 实 服务 


Ds g-a) 
源 地 址 散 列 ` 


ftmitiemiyait: 。 全 部 + ”健康 性 检测 方法 通过 
实 服务 丰 障 处 理 : 保持 已 有 连接 ~ 
识别 特征 : | Ram 
ACL: |(2000-3999) 
VERRE 

ES C) ALARSA 


图 6-160 ”修改 实 服务 组 


B (1-10, B@í8=3) 


秒 (1-259200, 8@í8 = 5) 
秒 (1- 3600, 8@íË8=3) 


S (*) 为 必须 填写 项 


6-161 修改 健康 性 检测 (1) 
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秒 (1- 259200, &@(8 = 5) 
jæ (1- 3600, RS- 3) 


J(1- 10, 缺 省 值 =3) 
: FFE (1- 185， 人 个 汉字 占 2 个 字符 ) 
服务 器 应 答 内 容 : 序 符 (0- 63) 
REKNE: [e L LëlLL lCL = (0-128) 
检测 目的 IP 地 址 : 一 J 
MANKO: [|)(0-65535) 
星 号 (*) 为 必须 填写 项 


[we ) ma J 
图 6-162 修改 健康 性 检测 (2) 


秒 (1-259200, 缺 省 值 =5) 


] 黎 (1- 3600, R= 3) 
(1-0, 89 @(8 = 3) 
a (0- 32) 
字符 (0-32) 
ZG (1- 200) 


HAEDO: | | (0- 65535) 


图 6-163 ”修改 健康 性 检测 (3) 
例如 : 通过 命令 可 以 看 到 LB 上 到 实 服务 192. 168. 1. 1 的 路 由 正常 ,ping 测试 可 达 。 


<LB>display ip routing-table 192.168.1.1 

Routing Table : Public 

Summary Count : 1 

Destination/ Mask Proto Pre Cost NextHop Interface 
192.168.1.0/24 Direct 0 0 192.168.1.254 XGE0/0.50 


—LB> ping 192.168.1.1 
PING 192.168.1.1: 56 data bytes, press CTRL_C to break 
Reply from 192.168.1.1: bytes=56 Sequence=0 ttl=255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=2 ttl 一 255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=3 ttl=255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms 


--- 192.168.1.1 ping statistics --- 
5 packet(s) transmitted 
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5 packet(s) received 
0.00% packet loss 


round-trip min/avg/max = 1/1/2 ms 


(6) 检查 服务 器 配置 


如 果 确 认 LB 的 配置 和 路 由 都 正确 ,但 是 健康 性 检测 还 是 失败 的 话 , 就 需要 排查 下 中 间 链 
路 及 服务 器 的 配置 了 。 先 在 服务 器 上 抓 包 确认 探测 报 文 是 否 到 达 服 务 器 ,如 果 没 有 需要 仔细 
检查 中 间 设 备 路 由 情况 ,如 果 到达 服务 器 ,就 需要 检查 服务 提供 业务 的 端口 、 应 用 程序 等 是 否 


正常 。 


MA: netstat -ano 


例如 : 以 Windows 服务 器 为 例 , 进 入 服务 器 CMD 运行 界面 ,通过 netstat -ano 可 以 看 到 


服务 器 80 端口 监听 正常 。 


Microsoft Windows [版 本 6.1.7600] 


C:\Users\z07119> netstat -ano 
活动 连接 


协议 。 本 地 地 址 
TCP ‘0.0.0.0:21 
TCP 0.0.0.0:80 
TCP 0.0.0.0:135 
TCP 0.0.0.0:445 
TCP o0.0.0.0:623 
TCP 0.0.0.0:2425 
TCP o0.0.0.0:16992 
TCP 0.0.0.0:58927 


版 权 所 有 Cc) 2009 Microsoft Corporation. 保 留 所 有 权利 . 


外 部 地 址 

0.0.0.0:0 
0.0.0.0:0 
0.0.0.0:0 
0.0.0.0:0 
0.0.0.0:0 
0.0.0.0:0 
0.0.0.0:0 
0.0.0.0:0 


状态 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
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za 活路 负载 均衡 
06 安全 产品 6.3.4 oil 链 路 负载 均衡 步骤 详解 


1. 开始 

Inbound 链 路 负载 均衡 问题 定位 故障 的 思路 是 : 先 检查 物理 链 路 状态 以 确保 负载 均衡 
(以 下 简称 LB) 设 备 与 网 络 的 连通 性 ,检查 健康 性 检测 配置 与 状态 ; 然后 检查 Inbound 负载 均 
衡 配置 是 否 正确 ; 对 于 需要 LB 设备 固定 应 答 DNS 解析 的 需求 ,可 通过 配置 ACL 策略 实现 。 
配置 检查 完成 后 ,可 通过 直接 将 LB 指定 为 DNS 服务 器 并 进行 解析 测试 ,来 判断 LB 能 否 正确 
应 答 DNS 解析 请 求 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 物理 链 路 状态 

链 路 负载 均衡 实施 业务 流量 调度 的 基础 是 “物理 链 路 ”, 因 此 必须 确保 其 状态 正常 。 在 LB 
Web 管理 页 面 中 ,可 以 查看 到 物理 链 路 的 “下 一 跳 “ 接 口 *“ 状 态 ” 等 信息 ,应 根据 实际 组 网 情 
况 进 行 核对 。 如 信息 存在 错误 或 “状态 ”显示 为 红色 ,Outbound 链 路 负载 均衡 将 无 法 使 用 该 
链 路 承载 流量 ,此 时 应 对 该 物理 链 路 的 配置 情况 进一步 进行 检查 确认 。 

例如 : 在 LB Web 管理 界面 “负载 均衡 一 链 路 负载 均衡 一 物理 链 路 "中 ,检查 各 物理 链 路 
对 应 的 接口 、 下 一 跳 ,状态 等 信息 是 否 正确 ,如 图 6-164 所 示 。 


健康 性 检测 LIAR 上 行 带 宽 繁 下 行 带宽 TITAAN HA 
£ VPN 实 网 TW 方法 让。 《Mbps) EHBO) (Mbps) tia me SP RE Ea 
CNC 17216201 2 100 85 100 85 0 中 国联 通 @ Cn 


| Ten- 
CTC 172.16.10.1 2 100 85 100 85 0 中 国电 信 e GigabitEthernet0/0.10 


apapap rë 


Ten- 
LAN 172.31.255.1 0 4o00 70 4o00 70 0 © Gigabitetnemet0/0.4000 


6-164 ”物理 链 路 


(2) 检查 物理 链 路 配置 

“物理 链 路 ?的 配置 包括 名 称 等 诸多 重要 参数 。 物 理 链 路 的 名 称 应 尽量 明确 .便于 理解 。 
下 一 跳 通常 为 LB 三 层 直 联 对 端 设备 的 接口 地 址 ,与 Internet 互联 链 路 的 下 一 跳 通常 为 ISP 
线路 网 关 地 址 ,与 内 网 互联 链 路 的 下 一 跳 通常 为 指向 内 网 方向 路 由 表 项 的 下 一 跳 地 址 。 在 检 
查 下 一 跳 时 ,应 同时 检查 接口 是 否 正 确 。 物 理 链 路 的 名 称 、 下 一 跳 信 息 不 能 编辑 ,如 需 修改 可 
先 将 配置 错误 的 物理 链 路 删除 后 ,重新 创建 一 条 物理 链 路 。 在 ISP 选项 中 ,可 设置 物理 链 路 对 
应 的 运营 商 类 型 ,该 功能 必须 在 导入 专用 ISP 地 址 表 项 文件 后 方 可 启用 ,具体 操作 方法 不 在 本 
云图 的 讨论 范围 内 。 一 般 情况 下 , 除 带 外 管理 端口 外 ,LB 启用 了 多 少 个 三 层 业 务 口 ,就 应 该 
配置 多 少 条 物理 链 路 一 一 对 应 。 对 于 连接 ISP 的 物理 链 路 ,可 启用 健康 性 检测 功能 以 实时 探 
测 线路 状态 , 若 健 康 性 检查 功能 探测 失败 ,说 明 该 ISP 线路 可 能 存在 故障 ,LB 将 主动 禁用 该 物 
理 链 路 ,将 DNS 解析 调度 至 其 他 可 用 线路 ,同时 还 将 向 信息 中 心 输出 线路 “Block” 告 警 日 志 。 
健康 性 检测 功能 支持 在 单条 物理 链 路 上 同时 启用 多 种 探测 方法 ,通常 设置 为 当 其 中 任 一 种 方 
法 探测 成 功 时 即 认为 该 线路 正常 ,从 而 避免 出 现 频繁 的 线路 阻塞 与 恢复 。 对 于 LB 与 内 网 互 
联 对 应 的 物理 链 路 , 因 其 稳定 性 较 好 ,推荐 不 启用 健康 性 检测 以 减少 探测 流量 。 

例如 : 在 LB Web 管理 界面 “负载 均衡 一 链 路 负载 均衡 一 物理 链 路 ”中 , 单 击 “ 操 作 ” 列 中 
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的 “编辑 ”按钮 ,进入 “修改 物理 链 路 ”页 面 ,对 配置 参数 进行 检查 与 修改 ,如 图 6-165 所 示 。 


pipis 


HEER: CTC 
VPN 实 例 
T: [7216101 -| 
己 选 检测 方法 可 选 检测 方法 
icmp 
健康 性 检测 方法 : tcp_half_open 43 
(最 多 16 个 ) 
> 
健康 性 检测 成 功 条 件 : | 至 少 v| [1 F 51- 16) 个 健康 性 检测 方法 通过 
mam. 100 Mbps (1- 10240, š FERRIS: 85 了 % (1-100, RSE 
ETER: 省 值 =10240) l: Eeh 70) 
mo 100 Mbps (1- 10240, && -zam 85 $ (1-100, #@(8— 
TISA: P= Kun a a 
HEME: 0 《0- 10240, RSE =0) 
ISP: 中 国电 信 


6-165 ”修改 物理 链 路 


(3) 检查 健康 性 检测 配置 

LB 默认 配置 预定 义 了 *icmp”tcp_half open" 两 种 方法 用 于 物理 链 路 的 健康 性 检测 ,启用 
后 LB 默认 向 该 物理 链 路 配置 的 “下 一 跳 " 地 址 进行 探测 。 若 网 络 管理 员 希 望 对 远 端 跨 网 段 的 
其 他 IP 地 址 进行 探测 ,可 自 定 义 检测 方法 并 在 物理 链 路 配置 中 进行 引用 。 若 当前 物理 链 路 为 
失效 状态 ,并 且 引 用 了 自 定义 检测 方法 ,那么 就 需要 检查 其 配置 是 否 正确 .确认 被 检测 IP 是 否 
能 够 响应 icmp ,tcp_half _open 类 型 的 探测 报 文 。 

例如 : 在 LB Web 管理 界面 “负载 均衡 一 健康 性 检查 ”中 , 单 击 “ 操 作 ” 列 中 的 “编辑 ”按钮 ， 
进入 “修改 健康 性 检查 "页面, 对 配置 参数 进行 检查 与 修改 。 在 图 6-166 中 ,客户 希望 对 CTC 
物理 链 路 除 下 一 跳 地 址 外 ,对 该 线路 相应 的 DNS 服务 器 可 达 性 做 同步 探测 ,服务 器 IP 地 址 以 
x. x. x. x 示意 。 


修 次 健康 性 检 列 
名 称 : [CTC_dns_server 
健康 性 检测 类 型 ;11CMP 
RMT: m i a-a, #G@í8 = 5) 
超时 时 间 : B 种 (1-3600, 缺 省 值 =3) 
utka: B _  _ ]d-10, 缺 省 值 =3) 
检测 目的 IPlb 址 : xxx  — j] 
E5 (*) ALARSA 

这 | ma 
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(4) 检查 物理 线路 可 达 性 

查看 LB 设备 的 ARP、 路 由 表 等 网 络 可 达 性 信息 ,通过 ping 测试 等 方法 确认 LB 与 其 他 网 
络 设备 互联 互通 正常 。 需 注意 : 即使 正常 状态 下 业务 流量 是 通过 虚 服 务 调度 转发 的 ,但 依然 
要 确保 LB 上 正确 学 习 了 全 部 的 网 络 可 达 性 信息 ,比如 为 LB 配置 了 完整 的 静态 路 由 表 。 
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命令 : display arp 
例如 : 在 命令 行 界面 查看 ARP 表 项 学 习 是 否 正确 ,IP 对 应 MAC 地 址 是 否 正确 。 


[H3C] display arp 
Type: S-Static D-Dynamic 
IP Address MAC Address VLANID Interface 


Aging Type 
172.16.10.1 000f-e280-de93 N/A XGE0/0.10 20 D 
172.16.20.1 000f-e280-de93 N/A XGE0/0.20 20 D 
172.31.255.1 3ceS-a682-c521 N/A XGE0/0.4000 20 D 


(5) 检查 端口 状态 

检查 LB 各 三 层 接 口 的 速率 、 双 工 协商 状 态 及 对 端 状态 是 否 正常 ,接口 收发 报 文 统计 是 否 
合理 ,是 否 存在 错 包 ,是 否 存在 大 量 TTL 超时 报 文 (通常 是 路 由 环 路 造成 ) 等 。 插 卡 形态 的 LB 
主要 利用 与 宿主 路 由 交换 主机 的 内 联 万 兆 口 承载 业务 流量 ,推荐 采用 三 层 子 接口 的 部 署 方 式 。 

命令 : display inter face inter face-type inter face-number 


例如 : 在 CLI 界 面 查看 LB HEARRE. 


<H3C>display interface Ten-GigabitEthernet 0/0 
Ten-GigabitEthernet0/0 current state: Up 
Line protocol current state: Up 
Description: Ten-GigabitEthernet0/0 Interface 
The Maximum Transmit Unit is 1500 
Internet protocol processing : disabled 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 3ce5-a613-ff0c 
IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 3ce5-a613-ff0c 
Media type is twisted pair, loopback not set, promiscuous mode not set 
10Gb/s, Full-duplex, link type is force link 
Output flow-control is disabled, input flow-control is disabled 
Last clearing of counters: Never 
Peak value of input:20177 bytes/sec, at 2013-4-26 15:23:11 
Peak value of output: 19706 bytes/sec, at 2013-4-26 15:23:11 
Last 5 seconds input rate12994 bytes/sec, 103952 bits/sec, 127 packets/sec 
Last 5 seconds output rate 13015 bytes/sec, 104120 bits/sec, 127 packets/sec 
Input:136427 packets, 0 jumboes, 2742408 bytes, 136427 buffers 
6014 broadcasts, 4412 multicasts, 0 pauses 
0 errors, 0 runts, 0 giants 
0 cre, 0 align errors, 0 overruns 
0 dribbles，0 drops, 0 no buffers 
Output:19822 packets, 2787464 bytes, 19822 buffers 
826 broadcasts, 0 multicasts, 0 pauses 
0 errors, 0 underruns，0 collisions 
0 deferred, 0 drops, 0 lost carriers 


(6) 检查 DNS 重 定向 配置 

在 Inbound 链 路 负载 均衡 中 ,目前 LB 可 以 支持 DNS A 记录 、MX 记录 的 动态 智能 解析 。 
在 进行 配置 检查 时 ,应 重点 查看 “使 能 DNS 重 定向 ”选项 是 否 已 经 启用 。 在 成 功 导入 ISP 地 址 
表 项 文件 并 设置 物理 链 路 ISP 属性 的 前 提 下 ,建议 启用 “使 能 ISP 选 路 ?功能 : 源 自 不 同 运 营 
商 网络 的 本 地 DNS 服务 器 或 客户 端 ,向 LB 发 送 DNS 解析 请 求 报 文 后 ,LB 可 以 直接 根据 
DNS 请 求 报 文 的 源 IP 地 址 判断 其 所 属 运 营 商 ,并 将 对 应 物理 链 路 上 的 “IP 地 址 ”作为 结果 进 
行 DNS 解析 应 答 。 简 而 言 之 .电信 用 户 返 回电 信 线 路 地 址 ,联通 用 户 返 回 联通 线路 地 址 。 在 
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“DNS 表 项 ”页 签 中 , 需 重 点 检查 域名 、IP 地 址 、 物 理 链 路 等 是 否 配置 准确 。 需 要 根据 DNS 请 
求 报 文 源 IP 地 址 强行 指定 应 答 结 果 的 ,可 通过 启用 ACL 策略 实现 。 

Inbound 链 路 负载 均衡 中 ,设备 将 根据 多 种 方式 最 终 决定 以 哪个 "IP 地 址 ”作为 DNS 解析 
结果 应 答 给 客户 端 ,优先 顺序 由 高 至 低 依 次 为 : ACL 策略 之 ISP 选 路 二 就 近 性 二 调度 算法 ( 随 
机 )。 当 LB 接收 到 来 自 运 营 商 本 地 DNS 服务 器 或 客户 端的 DNS 解析 请 求 后 ,首先 将 报 文 源 
IP 地 址 与 ACL 策略 进行 匹配 ,然后 再 与 ISP 地 址 表 项 进行 匹配 ,如果 前 两 者 仍 不 能 决定 应 答 
哪个 IP, 就 再 与 就 近 性 表 项 进行 匹配 ,仍然 无 法 决定 的 ,LB 将 从 该 域名 配置 的 多 个 IP 中 随机 
选择 一 个 作为 调度 结果 ,应 答 客户 端 请 求 。 应 答 后 立即 发 起 就 近 性 探测 ,以 尝试 判断 刚才 的 客 
户 端 地 址 从 哪 条 物理 链 路 可 更 快 到 达 ,建立 就 近 性 表 项 后 用 于 后 续 DNS 解析 请 求 的 决策 。 默 
认 情 况 下 ,LB 应 答 的 DNS 解析 结果 有 效 时 间 为 60 秒 。 

例如 : 在 负载 均衡 设备 Web 管理 界面 “负载 均衡 一 链 路 负载 均衡 一 Inbound” 中 ,检查 配 
置 ,如 图 6-167 所 示 。 


回 使 能 DNS 重 定向 

思 使 能 ISP 先 路 

DNSTTL: bo Wo- 缺 省 值 =60) 
TS 0 为 必须 请 项 u 
ES 
类 型 : @AOux 

域名 v| = |=ess 
域名 JP 地 址 pipia ACL “操作 

C www.demo_sever.com 1111 CTC ea 
C www demo_servercom 2222 CNC 3002 @ l] 


图 6-167 Inbound 配置 


例如 : 若 发 现 *DNS 表 项 "配置 有 误 , 可 单 击 “ 操 作 ” 列 中 的 “编辑 ”按钮 ,进入 “修改 DNS 
记录 ”页 面 ,重新 选择 域名 /IP 地 址 所 对 应 的 物理 链 中 及 关联 的 ACL 规则 ,如 图 6-168 所 示 。 


图 6-168 修改 DNSA 记录 


(7) DNS 解析 测试 

在 Inbound 链 路 负载 均衡 中 ,LB 设备 主要 是 面向 Internet 上 的 运营 商 本 地 DNS 服务 器 
或 客户 端 提供 动态 DNS 解析 功能 。 须 注意 ,LB 仅 提 供 管理 员 明 确 配置 的 A 记录 、MX 记录 
解析 。 在 一 般 场景 中 ,需要 原 有 域名 注册 服务 商 配 合 , 将 这 些 DNS 记录 的 解析 工作 转移 至 LB 
完成 , 即 “ 设 法 通知 ”Internet 上 的 运营 商 本 地 DNS 服务 器 或 客户 端 ,对 于 这 些 DNS 记录 的 解 
析 请 求 , 需 直 接 向 LB( 任 意 一 个 路 由 可 达 的 接口 ) 发 起 查询 ; 对 于 超出 Inbound 负载 均衡 配置 
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的 解析 工作 ,LB 无 法 完成 。 在 部 分 存在 NAT 的 组 网 中 ,要 注意 DNS 应 答 报 文 经 过 NA T iZ 
备 时 ,NATT ALG 功能 导致 应 答 结果 被 修改 的 可 能 。 

最 简单 的 验证 方法 : 将 测试 PC 客户 端的 主 用 DNS 服务 器 设备 为 LB 设备 任意 一 个 路 由 
可 达 的 接口 地 址 ,然后 在 客户 端 上 执行 DNS 请 求 操 作 , 通 过 观察 解析 结果 来 判断 LB 是 否 正 
常 。 若 客户 端 直接 向 LB 请 求 ,可 以 正确 获取 对 应 的 IP, 说 明 LB 设备 本 身 工作 正常 ; 但 如 果 
将 客户 端的 DNS 重新 设置 为 Internet 运营 商 提 供 的 本 地 DNS 服务 器 后 ,发 现 仍 然 无 法 成 功 
解析 , 则 很 可 能 是 由 于 运营 商 本 地 DNS 服务 器 、 原 域名 注册 服务 器 等 配合 存在 问题 ,未 能 使 运 
营 商 本 地 DNS 服务 器 向 LB 直接 发 起 DNS 解析 请 求 导致 。 
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1. 开始 

DR(Direct Routing) 方 式 服务 器 负载 均衡 技术 通过 改写 报 文 的 目的 MAC 地 址 实现 ,对 负 
载 均衡 设备 和 服务 器 的 组 网 有 一 定 要 求 ,DR 方式 服务 器 负载 定位 故障 的 思路 是 : 先 确 认 LB 
是 否 收 到 客户 请 求 报 文 ,其 次 检查 虚 服务 和 实 服务 状态 ,然后 检查 单 向 流 检测 配置 ,再 检查 调 
度 算法 ,最 后 检查 持续 性 和 ACL 策略 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 LB 是 否 收 到 客户 端 报 文 

LB 将 不 同 客户 的 请 求 分 发 给 不 同 的 服务 器 ,从 而 实现 负载 分 担 的 目的 ,所 以 定位 问题 时 
首先 要 判断 LB 是 否 收 到 客户 端的 请 求 报 文 ,具体 可 以 通过 在 LB 上 查看 会 话 或 者 抓 包 的 方法 
进行 确认 ,另外 DR 方式 中 服务 器 返回 的 报 文 不 用 经 过 LB, 所 以 查看 会 话 的 时 候 响 应 方 收 到 
的 报 文 应 该 是 0。 

MS: display session table source-ip x.x. x.x destination-ip y. y. y. y verbose 


例如 : 通过 命令 可 以 发 现 LB 已 经 收 到 客户 端 10. 0. 0. 1 发 来 的 请 求 报 文 。 


[H3C] display session table source-ip 10.0.0.1 destination-ip 60.191.99.142 verbose 
Initiator: 

Source IP/Port : 10.0.0. 1/53047 

Dest IP/Port : 60.191.99.142/80 

VPN-Instance/ VLAN ID/VLL ID: 
Responder: 

Source IP/Port : 60. 191.99. 142/80 

Dest IP/Port : 10.0.0.1/53047 

VPN-Instance/ VLAN ID/VLL ID: 


Pro: TCP(6) App: HTTP State: TCP-EST 
Start time: 2013-09-08 18:10:49 TTL: 3599s 
Root Zone(in) : 

Zone(out) : 


Received packet(s) (Init): 9 packet(s) 9310 byte(s) 
Received packet(s) (Reply) : 0 packet(s) 0 byte(s) 


(2) 检查 路 由 信息 

如 果 通 过 查看 会 话 或 者 抓 包 发 现 LB 没有 收 到 客户 的 请 求 报 文 ,那么 需要 对 路 由 进行 排 
# ,确保 上 行 设备 都 有 到 达 LB 的 虚 服 务 IP 地 址 的 路 由 。 

命令 : display ip routing-table x. z. x. z 

例如 : LB 的 虚 地 址 是 60. 191. 99. 142 ,通过 命令 看 到 上 行 设备 已 经 有 到 60. 191. 99. 142 
的 路 由 。 

<SW>4isplay ip routing-table 


Routing Tables: Public 
Destinations : 9 Routes : 9 


Destination/Mask Proto Pre Cost NextHop Interface 


10.0.0.0/24 Direct 0 0 10.0.0.254 Vlan10 
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10.0.0.254/32 Direct0 0 127.0.0.1 InLoop0 
20.0.0.0/24 Direct 0 0 20.0.0.1 Vlan20 
20.0.0.1/32 Direct0 0 127.0.0.1 InLoop0 
60.191.99.142/32 Static 60 0 20.0.0.2 Vlan20 


另外 ,加 入 LB 的 虚 服务 IP 地 址 和 接口 地 址 在 同一 物理 网 段 ,由 于 LB 的 虚 地 址 目前 不 会 
响应 ARP, 所 以 需要 在 上 行 设备 配置 32 位 主机 路 由 .或 者 将 LB 虚 地 址 配置 成 接口 sub 地 址 
或 VRRP 虚 地 址 。 

例如 : LB 的 接口 地 址 为 20.0.0.0/24, 虚 服务 IP 地 址 是 20. 0. 0. 100 ,可 以 将 虚 服 务 地 址 
配置 成 接口 sub 地 址 或 者 VRRP 虚 地址 。 


[H3C] display current-configuration interface Ten-GigabitEthernet 0/0.20 
# 


interface Ten-GigabitEthernet0/0.20 
vlan-type dotlq vid 20 
ip address 20.0.0.2 255.255.255.0 
ip address 20.0.0.100 255.255.255.0 sub 


[H3C] display current-configuration interface Ten-GigabitEthernet 0/0.20 


interface Ten-GigabitEthernet0/0. 20 
vlan-type dotlq vid 20 
ip address 20.0.0.2 255.255.255.0 
vrrp vrid 20 virtual-ip 20.0.0.100 
vrrp vrid 20 priority 120 


(3) 查看 虚 服务 状态 

登录 到 LB 设备 的 Web 管理 界面 ,查看 LB 虚 服务 的 状态 是 否 正常 ,如 果 虚 服务 没有 使 能 
或 者 虚 服 务 对 应 的 所 有 实 服务 都 出 现 异 常 , 则 虚 服 务 会 显示 红 灯 ,LB 不 会 对 命中 虚 服 务 的 报 
文 进行 转发 ,所 以 一 定 要 检查 配置 ,确认 虚 服务 已 经 使 能 , 且 状 态 显 示 为 绿灯 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 * 负 载 均衡 ”服务 器 负载 均衡 ”一 
“IPv4 协议 ”, 单 击 * 虚 服务 ”页 签 ,如 图 6-169 所 示 ,可 以 看 到 当前 LB 上 http_service 的 虚 服 务 
状态 正常 ,但 是 dns_service 这 个 虚 服 务 的 状态 不 正常 。 


ARSA ARS 7 统计 信息 
虚 服 务 名 "LE i J| 高 级 查询 
amsa ANS VPN 实 例 庶务 IP 地 址 站 友 PYAR: N 状态 | 转发 模式 TRSA TRSN W 
E dns_semce RE 60.191.99.141/32 UDP:53 S| 直接 路 由 dnssevers 2 As 
回 http_sevice 四 层 60.19199.14232 TCP-80 o | 直接 路 由 htipsevers 2 ea 
[ sg | meta 
Æ 6-169 ERZ 


(4) 检查 虚 服务 配置 
如 果 虚 服务 的 状态 不 正常 ,请 仔细 检查 虚 服 务 是 否 已 经 使 能 ,然后 检查 虚 服 务 的 IP 地 址 、 
掩 码 .协议 和 端口 是 否 配 置 正确 。 
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例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “ 负 载 均 衡 ">“ 服 务 器 负载 均衡 "一 
“IPv4 协议 ”, 先 单 击 “ 虚 服务 ”页 签 , 然 后 单 击 对 应 虚 服 务 后 面 的 编辑 按钮 进入 虚 服 务 的 配置 
界面 ,如 图 6-170 和 图 6-171 所 示 可 以 看 到 http_service 这 个 虚 服 务 的 IP 地 址 、 掩 码 、 协 议 及 
端口 信息 配置 正确 ,并 确认 虚 服 务 状态 已 经 使 能 。 


天 服务 组 实 服务 Sime Nl 
ERRE "e RS E Si] 
amsa Rok VWNZM munpiuqe POAR ON yo RUS — 实务 组 FRAM ME 
回 dns_senice ME 60.191.99.141/32 UDP:53 ° 直接 路 由 dnssevers 2 en 
E nttip_seMce 四 层 60.191.99.142/32 TCP:80 ° 直接 路 由 htpsevers 2 [e]3 
(ae | mena 
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《0- 10485760，0 表 示 不 限制 ， 缺 省 值 ~0) 


(Lae | ma j 
6-171 修改 虚 服 务 


(5) 查看 实 服务 状态 

LB 通过 健康 性 检测 实时 监控 各 实 服务 的 状态 ,状态 正常 的 实 服务 显示 绿灯 ,一 旦 检测 到 
实 服务 故障 ,就 显示 红 灯 。LB 不 会 向 故障 的 实 服务 分 发 流量 ,在 日 常 维护 过 程 中 要 及 时 关注 
实 服务 的 状态 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “ 负 载 均 衡 ">“ 服 务 器 负载 均衡 "一 
“IPv4 协议 ”, 单 击 “ 实 服务 ”页 签 , 如 图 6-172 所 示 , 可 以 看 到 httpserverl 和 httpserver2 的 健 
康 性 检测 状态 正常 ,dnsserverl 和 dnsserver2 的 状态 不 正常 。 

(6) 检查 实 服务 配置 

如 果实 服务 的 状态 不 正常 ,需要 检查 实 服务 的 IP 地 址 、 端 口 以 及 健康 性 检测 类 型 等 配置 。 

例如 : 进入 LB 的 Web 管理 界面 :在 导航 栏 中 单 击 “负载 均衡 ”服务 器 负载 均衡 ”一 
“IPv4 协议 ”, 先 单 击 * 实 服务 页 签 , 然 后 单 击 对 应 实 服务 后 面 的 编辑 按钮 进入 实 服务 的 配置 
界面 ,如 图 6-173 和 图 6-174 所 示 ,看 到 实 服务 httpserverl 的 IP 地 址 、 端 口 配置 正确 ,健康 性 
检测 方法 和 实 服务 组 一 致 。 
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Es i Ei iwe 
amsa — Q Wm J sewa 
Ë 实 服 务 名 FRAPI AOS | HS | RE NAR SARAMO ZEHA ACL 。 健康 性 检测 方法 WE 
E dnssemer1 192.168.1.3 53 ° 100 100 ° dnsservers 与 天 服务 给 一 闭合 站 
E) onssever2 192168.14 53 o 100 100 0 dnsservers 与 实 服务 组 - 致 ® O 
E htpsemer1 19216811 sæ je foo 10 ° htpservers 与 天 服务 组 一至 AI 
E) ntpsever2 192.168.1.2 80 ° 100 100 0 httpservers 57nn- 命 I 
6-172 XRF 


实 服务 名 ra j| sowa 


[a| 实 服务 名 实 服 务 |P 地 址 MOS jG NE NAR BASMASI “mh Ac 。 健康 性 检测 方法 WE 
E) dnssever1 192.168.1.3 5 © 100 400 ° ansservers S= D 
E dnsserver2 192.168.1.4 53 ° 100 100 ° dnsservers 与 实 服务 组 一 至 9 
El hipsemer! 19216811 8 © 10 100 ° htpserers 与 实 服务 组 -多 A 
E) hpsemer2 192.168.1.2 80 ° 100 100 0 hipservers 与 实 服务 组 -致命 自 


权 值 : [fioo —  ]0—-255, @GW(8= 100) 
RAR: C ](1-265, 8#$(B= 100) 
最 大 连接 数 限制 : lo 《0- 10485760, ORTAR) 缺 省 值 =0) 
所 属实 服务 组 : httpservers ~ 
ACL: Do (2000-3999) 
ERRE 

健康 性 检测 方法 : 与 实 服务 组 一 致 ~ 

四 ERRE 

四 立即 停止 服务 
号 (*) 为 必须 填 瑟 项 

(Cae J ma 
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(7) 检查 健康 性 检测 

LB 通过 健康 性 检测 实时 监控 实 服务 的 状态 ,如 果实 服务 出 现 异 常 就 显示 红 灯 , 并 且 会 输 
出 日 志 提 示 , 当 实 服 务 出 现 异常 的 时 候 除 了 检查 实 服 务 的 IP 地 址 、 端 口 等 配置 是 否 正 确 外 ,还 
应 该 及 时 根据 实 服务 的 健康 性 检测 类 型 检查 实 服务 的 路 由 可 达 性 、 实 服务 提供 业务 的 端口 进 
程 或 者 应 用 程序 是 否 正常 。 

例如 : 进入 LB 的 Web 管理 界面 :在 导航 栏 中 单 击 “负载 均衡 ”服务 器 负载 均衡 ”一 
“IPv4 协议 ”, 单 击 * 实 服务 ”页 签 , 然 后 单 击 对 应 实 服务 后 面 的 编辑 按钮 进入 实 服务 的 配置 界 
面 , 如 图 6-175 所 示 看 到 httpserverl 这 个 实 服务 的 健康 性 检查 选择 的 类 型 和 实 服务 组 一 致 , 
再 单 击 * 实 服务 组 ”页 签 ,查看 实 服务 组 的 健康 性 检测 类 型 是 ICMP 如 图 6-176 所 示 ,然后 进入 
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LB 的 健康 性 检测 配置 页 面 检查 ICMP 的 相关 配置 参数 ,如 图 6-177 所 示 。ICMP 主要 用 于 检 
测 服务 的 可 达 性 ,通过 命令 可 以 看 到 LB 到 实 服务 192.168.1.1 的 路 由 正常 。 


实 服 务 名 : htpseverr | 
实 服 务 IP 地 址 
x08: ] 
权 值 : | (1-255, B@(8 = 100) 
优先 级 : Foo (1-255, g@(8= 100) 
最 大 连接 数 限 制 : [0 Jco-10485760, 0293289], 缺 省 值 =0) 
所 属实 服务 组 httpsevers ~ 
ACL: [jzooo-3ee9) 
ERA 

四 BE 

[a] 立即 停止 服务 

ES (C) 为 必须 填写 项 
Cae J ma J 
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实 服务 组 名 ; [tpservers ka a-a) 
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temia: BMX — ]# (1- 259200, Rei=5) 
aadi: B Ë (1-3600, 缺 省 值 =3) 
重生 次 烧 : B 《1- 10, 摧 省 值 =3) 
检测 目的 iP 地址: 

号 (*) 为 必须 填写 项 
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<LB>display ip routing-table 192.168.1.1 

Routing Table : Public 

Summary Count : 1 

Destination/ Mask Proto Pre Cost NextHop Interface 
192.168.1.0/24 Direct 0 0 192.168.1.254 XGE0/0.50 


<LB> ping 192.168.1.1 
PING 192.168.1.1: 56 data bytes, press CTRL_C to break 
Reply from 192.168.1.1: bytes=56 Sequence=0 ttl=255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=2 ttl=255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=3 ttl=255 time=2 ms 
Reply from 192.168.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms 


= — 


--- 192.168.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/2 ms 


(8) 检查 单 向 流 检 测 配置 

LB 的 DR 方式 负载 分 担 模式 中 ,只 有 客户 端的 请 求 报 文 经 过 LB, 服 务 器 响应 的 报 文 不 会 
经 过 LB, 也 就 是 只 有 单方 向 的 报 文 经 过 LB, 为 了 保证 会 话 的 正常 建立 ,LB 需要 开启 “ 单 向 流 
检测 ”功能 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “ 安 全 特性 ”一 “会 话 管理 ”一 “基本 设 
置 ”, 选 中 * 流 检测 ?下面 的 “启用 单 向 流 检 测 ” 复 选 框 ,如 图 6-178 所 示 。 


ACL: (2000- 3999) 
会 话 老化 时 间 : [24 * (0-360 小 时 ， 抽 省 值 =24) 
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(9) 查看 LB 负载 分 担 效果 

LB 提供 了 丰富 的 统计 功能 ,可 以 对 每 个 虚 服 务 、 实 服务 的 连接 数 、 连 接 速率 、 收 发 报 文 数 
等 信息 进行 统计 ,通过 统计 信息 可 以 看 到 LB 当前 的 负载 分 担 效 果 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “ 负 载 均 衡 " 一 “服务 器 负载 均衡 "一 
“IPv4 协议 ”, 单 击 “ 统 计 信息 ”页 签 , 如 图 6-179 所 示 , 可 以 查看 虚 服 务 http_service 及 其 关联 
实 服务 httpserverl 和 httpserver2 的 总 连接 数 、 连 接 速率 等 信息 ,从 当前 统计 情况 来 看 ， 
httpserverl 和 httpserver2 的 负载 效果 非常 均匀 。 

(10) 检查 调度 算法 

如 果 通 过 虚 服 务 的 统计 信息 看 到 服务 器 负载 的 效果 不 均匀 ,应 该 及 时 根据 业务 情况 调整 
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虚 服 务 名 ~ [二 查 记 | 


ampa sien 7 s 


WB0E3S SSE ADERIR 
CAA) 数 出 方向 转发 报 文 教 。 操作 


0110 62010 0 a 


http_service 200 0/30 


活动 连接 玖 笑 PREFERE 入 方向 速率 。 出 方向 速率 
实 服务 名 SiR “amea Mae) “dR RER kops) (kbps) 
httpserver1 100 0715 0/5 310 0 1 0 
httpserver2 100 0715 01/5 310 0 1 0 


6-179 统计 信息 


调度 算法 。 调 整 的 时 候 先 找到 对 应 的 虚 服 务 ,然后 查看 虚 服 务 关联 的 是 服务 组 ,修改 该 实 服务 
组 的 调度 算法 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “ 负 载 均 衡 "* 一 “服务 器 负载 均衡 "一 
“IPv4 协议 ”, 先 单 击 “* 虚 服务 ”页 签 , 如 图 6-180 所 示 查 看 http_service 关联 的 实 服务 组 是 
httpservers ,然后 进入 httpservers 实 服 务 组 的 配置 界面 调整 其 调度 算法 ,如 图 6-181 所 示 。 


TRMA KRS ia 


F. 虚 服务 名 * RB | 训 织 查询 


amsa RS NZA m@mRSPihuNS POAR ON po weeds ARSA TRSN ME 
E) dns_semice ME 
http_ser4ce ME 


60.191.99.141/32 UDP:53 © ERMA dnsservers 2 es 


60.191.99.14232 TCP.80 © 直接 路 由 [es ]2 e 
(anr | mwa J 


图 6-180 ER 


图 6-181 修改 实 服务 组 
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aD 检查 持续 性 

持续 性 就 是 在 一 定时 间 内 将 多 个 具有 相同 特性 或 者 相关 特性 的 连接 持续 发 送 到 同一 个 服 
务 器 ,LB 支持 基 于 源 IP、 源 端口 .目的 IP、 目 的 端口 等 多 方式 的 持续 性 ,使 能 持续 性 功能 后 ， 
LB 会 生成 一 张 持续 性 表 项 , 排 错 问 题 的 时 候 先 检查 持续 性 表 项 是 否 正确 ,如 果 不 正确 需要 及 
时 调整 持续 性 配置 。 

MS: display load-balance persistence server vd-name root virtual-service 工 工 工 工 

例如 : 通过 命令 可 以 看 到 LB 已 经 生产 基于 源 IP 的 持续 性 表 项 , 源 IP 是 10. 0. 0. 1, 对 应 
的 实 服务 是 192. 168. 1. 2, 表 项 的 老化 时 间 是 600 秒 , 当 前 连接 数 有 20 个 。 


<H3C>system-view 

System View: return to User View with Ctrl 十 Z. 

[H3C]_h 

Now you enter a hidden command view for developer's testing, some commands may 

affect operation by wrong use, please carefully use it with our engineer's 

direction. 

[H3C-hidecmd] display load-balance persistence server vd-name root virtual-service http_service 
Persistence method : Source-IP binding 
Source-IP Real-Server IP Conn-Num Age 
10.0.0.1 192.168.1.2 20 600 

[H3C-hidecmd]quit 


如 果 持 续 性 表 项 无 法 生成 或 者 不 正确 ,请 登录 到 LB 的 Web 管理 界面 检查 持续 性 的 配置 
是 否 正确 。 

例如 : 进入 LB 的 Web 管理 界面 ,在 导航 栏 中 单 击 “ 负 载 均衡 ">“ 服 务 器 负载 均衡 "一 
“IPv4 协议 ”, 先 单 击 * 虚 服务 页 签 ,然后 单 击 http_service 虚 服 务 后 面 的 编辑 按钮 进入 虚 服务 
配置 界面 ,可 以 看 到 持续 性 选择 了 * 源 地 址 方式 ”持续 性 表 项 生命 值 是 600 秒 ,如 图 6-182 
所 示 。 


ERSE: http senice 
ROER: © 四 层 协议 及 应 用 识别 七 时 应 用 内 容 识 别 
YPN 实例: 
60.191.99.142 
虚 服 务 |P 地 址 : 
RA: 
协议 类 型 : TCP 
was: 
转发 模式 : 直接 路 由 ` 
持续 性 方法 源 地 址 方式 = 
持续 性 生命 值 : |600 种 (10- 604800, Riil = 60) 
RRS: 0 (0- 10485760，0 表 示 不 限制 ， 缺 省 值 =0) 
实 服务 组 httpsevers ~ 
加 BERES 
5 C) 为 必须 是 写 项 


图 6-182 修改 虚 服 务 
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(12) 检查 ACL 策略 

在 某 些 应 用 场景 下 ,客户 要 求 将 某 些 特点 的 数据 流 分 发 给 特定 的 服务 器 ,在 LB 上 可 以 通 
过 ACL 策略 来 实现 ,在 排查 的 过 程 中 可 以 通过 会 话 来 查看 ACL 策略 是 否 生效 ,如 果 不 生效 
需要 仔细 检查 ACL 策略 的 配置 。 

MẸ: display acl raxx 

例如 : 客户 要 求 将 来 自 10.0.0. 10 的 所 有 流量 分 发 给 192.168.1.1 这 台 实 服务 ,命令 行 
下 面 创建 了 一 个 ACL 3001 ,定义 需要 转发 的 流量 ,然后 在 LB Web 管理 界面 将 ACL 3001 关 
联 到 192. 168. 1. 1 这 台 实 服务 ,如 图 6-183 所 示 。 


[H3C] display acl 3001 
Advanced ACL 3001, named -none-, 1 rule, 
ACL's step is 5 
rule 0 permit ip source 10.0.0.10 0 (20 times matched) 


端口 号: Be | 

BA: [foo  _ ](1-255, R= 100) 

优先 级 : Poo ] (1- 255, 缺 省 值 =100) 

最 大 连接 孝 限 制 : D  _ ](0-10485760, 08-289J, 缺 省 值 =0) 
所 属实 服务 组 : Httpeomvers v 

星 号 〈*) 为 必须 填 瑟 项 


me | 取消 
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y 志 示 上 一 步 结果 王 达 


r ---y 表示 上 一 步 结果 出 现 问题 
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` 
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查看 设备 


型 号 75E/105 


查看 MKcSEI 配 置 
及 注册 状态 


400-310-0504 
EPES 
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| 6.3.6 IPS(ACG)MOC 引流 š 
06 安全 产品 y sa 2 a E 步 又 详解 


1. 开始 


MGQC 技术 主要 用 于 二 层 插 卡 的 引流 。 在 堆 秋 或 者 其 他 无 法 使 用 OAA 的 情况 下 ,往往 需 
要 通过 配置 MQC 来 进行 引流 工作 ,将 需要 经 过 IPS/ACG 处 理 的 报 文 定向 到 二 层 板 卡 。 
MQC 引流 问题 定位 故障 的 思路 是 : 参考 配置 进行 一 步 步 的 排查 ,查看 单 板 注 册 状 态 , 内 
联 口 配置 以 及 MQC 具体 配置 等 。 
2. 流程 图 相关 操作 说 明 
(1) 查看 设备 型 号 95E/125 
通过 登录 交换 机 设备 ,查看 交换 机 版 本 ,确认 交换 机 型 号 。 
MS: display version 
举例 : 通过 命令 查看 当前 交换 机 型 号 及 版 本 ,此 设备 是 125 系列 交换 机 。 
<H3C>display version 
H3C Comware Platform Software 
Comware Software, Version 5.20, Release 1828P03 
Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 


H3C S12508 uptime is 6 weeks, 6 days, 11 hours, 49 minutes 
Last reboot reason : Power on 


LSTIMRPNC10: uptime is 6 weeks, 6 days, 11 hours, 49 minutes 
Last reboot reason : Power on 

3456 Mbytes SDRAM 

1024 Kbytes NVRAM Memory 

Type : LSTIMRPNC1 

BootRom : 1.22 

Software : S12500-CMW520-R1828P03 

Patch : NONE 

PCB : Ver.B 


(2) 查看 单 板 注册 状态 

确认 了 现场 设备 为 95E/125 后 ,查看 板 卡 在 交换 机 的 注册 状态 。 
MS: display device 

例如 : 通过 命令 查看 ,可 以 确认 单 板 已 经 成 功 注册 。 


<H3C>display device 

Slot No. Brd Type Brd Status Software Version 
0 LST1MRPNC1 Master S12500-CMW520-R1828P03 
1 NONE Absent NONE 
2 LST1GT48LEC1 Normal S12500-CMW520-R1828P03 
3 LST1IPS1A1 Normal S12500-CMW520-R1828P03 
4 LSTIACGI1A1 Normal S12500-CMW520-R1828P03 
5 LST1FW2A1 Normal S12500-CMW520-R1828P03 
6 LSTILBIA1 Normal S12500-CMW520-R1828P03 
7 NONE Absent NONE 
8 NONE Absent NONE 
9 NONE Absent NONE 
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如 果 单 板 注册 失败 ,为 fault 状态 ,请 联系 400 处 理 。 
(3) 查看 ACSEI 配 置 及 注册 状态 
查看 交换 机 上 ACSEI 配置 及 注册 状态 ,同时 确认 IPS/ACG 上 ACFP CLIENT 是 否 
使 能 。 
MA: display current-configuration | include acsei 
display acsei client info 


例如 : 通过 命令 查看 ,可 以 确认 交换 机 使 能 acsei server, 


<H3C>display current-configuration | include acsei 
acsei server enable 


通过 命令 查看 ,还 可 以 确认 单 板 已 经 成 功 完成 acsei 注册 。 


=H3C > display acsei client info 
Total Client Number: 1 


Client ID: 2 

Client Description: Application Control Gateway 
Hardware: 3.0 

System Software: i-Ware software, Version 1.10 
Application Software: Ess 6119P03 

CPU: RMI XLR732 

PCB Version: Ver. A 

CPLD Version: 3.0 

Bootrom Version: 1.19 

Storage Card: 247MB 

Memory: 3536MB 

Harddisk: 0MB 


通过 查看 Web 页 面 ,确认 IPS/ACG 板 卡 ACFP Client 是 不 是 使 能 状态 ,如 图 6-184 所 示 。 


I 使 能 ACFP Client ClientiD: 0 

Server SNMP 版 本 @ SNMP v2c @ SNMP V3 

"Sever 安 全 用 户 名 fosen | (2) 

Server 认 证 密码 E 

Server 加 密 密 码 ER 

*ServerIP 地 址 9030034004] 

“clientIP 地 址 [oomoo | ae [+ gn: 25525500 或 者 16) 

“VLAN ID [ee -4094) 

自动 分 流 a ti @ wt 
注 : 名 的 硕 为 必 十 硕 EEE ia 


图 6-184 ACFP Client 配置 


如 果 单 板 未 成 功 注册 acsei, 确 认 内 联 口 未 shutdown 后 ,请 联系 400 处 理 。 
(4) 查看 内 联 口 配置 

查看 交换 机 内 联 口 配置 ,是 否 放 通 了 业务 VLAN 同时 下 发 了 防 环 路 ACL。 
命令 : display current-configuration | begin (interface xxx) 


display acl xxx 
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例如 : 通过 查看 内 联 口 配置 ,确认 内 联 口 放 通 了 业务 VLAN, 同 时 配置 了 过 滤 策 略 。 


<H3C> display current-configuration | begin (interface Ten-GigabitEthernet4/0/1) 
# 
interface Ten-GigabitEthernet4/0/1 
port link-mode bridge 
description to_ACG 
port link-type trunk 
undo port trunk permit vlan 1 
port trunk permit vlan 10 20 
stp disable 
packet-filter 4000 outbound 
packet-filter 4000 inbound 
mac-address max-mac-count 0 


port trunk permit vlan 10 20 表示 放 通 业务 VLAN; stp disable 表示 关闭 此 接口 生成 树 
协议 ; packet-filter 4000 outbound 表示 出 方向 过 滤 非 业务 报 文 ; packet-filter 4000 inbound 
表示 人 方向 过 滤 非 业务 报 文 ; mac-address max-mac-count 0 表示 关闭 MAC 地 址 学 习 功 能 。 
通过 查看 ACL ,确认 过 滤 规 则 的 配置 。 


<H3C>display acl 4000 

Ethernet frame ACL 4000, named -none-, 3 rules, 

filter 

ACL's step is 5 
rule 0 permit type 0800 ffff dest-mac 0cda-41b6-41d8 ffff-ffff-ffff 
rule 50 permit type 88a7 ffff 
rule 100 deny 


rule 0 permit type 0800 ffff dest-mac 0cda-41b6-41d8 ffff-ffff-ffff 表示 放 通 业务 报 文 ; 
rule 50 permit type 88a7 ffff 表示 放 通 ACSEI 注册 报 文 ; rule 100 deny 表示 拒绝 非 业 务 报 文 。 
(5) 查看 MQC 配置 
查看 交接 口 下 MQC 配置 ,确认 配置 正确 下 发 ,同时 与 IPS/ACG 上 安全 域 配 置 相 匹 配 。 
MS: display qos policy interface xxx 
display acl xxx 
例如 : 通过 查看 接口 下 QoS 配置 ,确认 引流 规则 正确 下 发 。 


<H3C>display qos policy interface GigabitEthernet 2/0/2 
Interface: GigabitEthernet2/0/2 
Direction: Inbound 


Policy: up_ACG 
Classifier: up_ACG 
Operator: AND 
Rule(s) : If-match service-vlan-id 10 
If-match destination-mac 0cda-41b6-41d8 
If-match acl 3001 
Behavior: up_ACG 
Redirect enable: 
Redirect type: interface 
Redirect destination: Ten-GigabitEthernet4/0/1 
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Redirect destination: Ten-GigabitEthernet4/0/1 表示 重 定向 目的 接口 。 
通过 查看 ACL 配置 ,确认 引流 地 址 正确 。 


<H3C>dis acl 3001 
Advanced ACL 3001, named -none-, 1 rule, 
Match-ALL-Address-Up 
ACL's step is 5 
rule 5 permit ip source 10.0.0.0 0.0.0.255 


rule 5 permit ip source 10. 0. 0. 0 0. 0. 0. 255 表示 匹配 业务 地 址 网 段 。 
查看 IPS/ACG 搬 卡 上 安全 区 域 配置 ,确认 配置 匹配 ,如 图 6-185 所 示 o 


新 建安 全 区 域 
[noung (13 停 符 ) 
人 名称 RD: 由 A-Z 3-z 0-9 或 特殊 字符 -AR RAFLARIN 
£: 接口 和 VLAN ID 会 对 不 能 超过 256- 
preo 梧 选 接口 
|xethO/0 
`*n << 
10 
Ca] us Cyl (0-4094, ORRIRTRVLAN Ta 的 报 文 ) 
wn 
m 
CE We 


图 6-185 新 建安 全 区 域 
查看 IPS/ ACG 插 卡 上 段 配置 ,确认 配置 正确 ,如 图 6-186 所 示 。 


Ts: 
[em ] 


6-186 ”新 建 段 


(6) 查看 设备 型 号 75E/105 
通过 登录 交换 机 设备 ,查看 交换 机 版 本 ,确认 交换 机 型 号 。 
命令 : display version 


例如 : 通过 命令 查看 当前 交换 机 型 号 及 版 本 。 


[H3C]dis version 

H3C Comware Platform Software 

Comware Software, Version 5.20, Release 6708P08 

Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 
H3C S7506E uptime is 1 week, 6 days, 16 hours, 35 minutes 


MPU(M) 0: 
Uptime is 1 weeks,6 days,16 hours,35 minutes 
H3C S7506E MPU(M) with 1 BCM1125H Processor 


E> 安全 产品 653 


BOARD TYPE: LSQISRP2XB 
DRAM: 512M bytes 
FLASH: 64M bytes 
NVRAM: 512K bytes 
PCB 1 Version: VER.B 

PCB 2 Version: VER.B 
Bootrom Version: 303 

CPLD 1 Version: 006 

CPLD 2 Version: 006 

Release Version: H3C S7506E-6708P08 
Patch Version: None 


(7) 查看 单 板 注册 状态 
确认 了 现场 设备 为 75E/105 后 ,查看 板 卡 在 交换 机 的 注册 状态 。 
MA: display device 


例如 : 通过 命令 查看 ,可 以 确认 单 板 已 经 成 功 注册 。 


[H3C] dis device 

Slot No. Brd Type Brd Status Subslot Num Sft Ver Patch Ver 
0 LSQ1SRP2XB Master 0 S7500E-6708P08 None 
1 NONE Absent 0 NONE None 
2 LSQ1LBSC Normal 0 S7500E-6708P08 None 
3 LSQIIPSSC Normal 0 S7500E-6708P08 None 
4 LSQ1LBSC Normal 0 S7500E-6708P08 None 
5 LSQ1ACGASC Normal 0 S7500E-6708P08 None 
6 LSQ1NSMSC Normal 0 S7500E-6708P08 None 
i LSU1GP24TXEB Normal 0 S7500E-6708P08 None 
8 SRP2XBSLAVE Normal 0 S7500E-6708P08 None 
9 NONE Absent 0 NONE None 


如 果 单 板 注册 失败 ,为 fault 状态 ,请 联系 400 处 理 。 
(8) 查看 ACSEI 配 置 及 注册 状态 
查看 交换 机 上 ACSEI 配置 及 注册 状态 ,同时 确认 IPS/ACG 上 ACFP CLIENT 是 否 
使 能 。 
MA: display current-con figuration | include acsei 
display acsei client info 


例如 : 通过 命令 查看 ,可 以 确认 交换 机 使 能 acsei server, 


<H3C> display current-configuration | include acsei 
acsei server enable 


通过 命令 查看 ,可 以 确认 单 板 已 经 成 功 完成 acsei 注册 。 


< H3C>-4isplay acsei client info 
Total Client Number: 1 


Client ID: 2 
Client Description: Application Control Gateway 
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Hardware: 3.0 
System Software: i-Ware software, Version 1.10 
Application Software: Ess 6119P03 
CPU: RMI XLR732 
PCB Version: Ver. A 
CPLD Version: 3.0 
Bootrom Version: 1.19 
Storage Card: 247MB 
Memory: 3536MB 
Harddisk: 0MB 


通过 查看 Web 页 面 ,确认 IPS/ACG H FE ACFP Client 是 不 是 使 能 状态 ,如 图 6-187 
所 示 。 


ACFP Client (RE 


I 使 能 ACFP Client ClientiD: 0 
Server SNMP 版 本 @ SNMPv2c € SNMPW 
"Sever 安 全 用 户 名 em UU (3238) 
Server 认证 密码 户 a 
Server 加 密 密 码 六 ”0szi 
“server IP 地 址 Forooiool | 
"Comt PP 地址 [oom | eR 区 om: 25525500 或 者 16) 
VANID [55 -4094) 
a 使 能 G Hit 


图 6-187 ACFP Client 配置 


如 果 单 板 未 成 功 注册 acsei ,确认 内 联 口 未 shutdown 后 ,请 联系 400 处 理 。 
(9) 查看 内 联 口 配置 
查看 交换 机 内 联 口 配置 ,是 否 放 通 了 业务 VLAN 同时 下 发 了 防 环 路 ACL。 
MA: display current-con figuration | begin (interface zzz) 
display acl xxx 
例如 : 通过 查看 内 联 口 配置 ,确认 内 联 口 放 通 了 业务 VLAN, 同 时 配置 了 过 滤 策 略 。 


<H3C>display current-configuration | begin (interface Ten-GigabitEthernet4/0/1) 
# 
interface Ten-GigabitEthernet4/0/1 
port link-mode bridge 
description to_ACG- 
port link-type trunk 
undo port trunk permit vlan 1 
port trunk permit vlan 10 20 
stp disable 
packet-filter 4000 outbound 
packet-filter 4000 inbound 
mac-address mac-learning disable 
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port trunk permit vlan 10 20 表示 放 通 业务 VLAN; stp disable 表示 关闭 此 接口 生成 树 
协议 ; packet-filter 4000 outbound 表示 出 方向 过 滤 非 业务 报 文 ; packet-filter 4000 inbound 
入 方向 过 滤 非 业务 报 文 ; mac-address mac-learning disable 关闭 MAC 地 址 学 习 功 能 。 
通过 查看 ACL ,确认 过 渡 规 则 的 配置 。 


<H3C>display acl 4000 

Ethernet frame ACL 4000, named -none-, 3 rules, 

filter 

ACL's step is 5 
rule 0 permit type 0800 ffff dest-mac0cda-41b6-41d8 ffff-ffff-ffff 
rule 50 permit type 88a7 ffff 

rule 100 deny 


rule 0 permit type 0800 ffff dest-mac 0cda-41b6-41d8 ffff-ffff-ffff 表示 放 通 业务 报 文 ; 
rule 50 permit type 88a7 ffff 表示 放 通 ACSEI 注册 报 文 ; rule 100 deny 表示 拒绝 非 业 务 报 文 。 
(10) 查看 MQC 配置 
查看 交接 口 下 MQC 配置 ,确认 配置 正确 下 发 ,同时 与 IPS/ACG 上 安全 域 配置 相 匹 配 。 
MS: display qos policy interface xxx 
display acl xxx 


例如 : 通过 查看 接口 下 QOS 配置 ,确认 引流 规则 正确 下 发 。 


<H3C>display qos policy interface GigabitEthernet 2/0/2 
Interface: GigabitEthernet2/0/2 
Direction: Inbound 


Policy: up_ACG 
Classifier: up_ACG 
Operator: AND 
Rule(s) : If-match service-vlan-id 10 
If-match destination-mac 0cda-41b6-41d8 
If-match acl 3001 
Behavior: up_ACG 
Redirect enable: 
Redirect type: interface 
Redirect destination: Ten-GigabitEthernet4/0/1 


Redirect destination: Ten-GigabitEthernet4/0/1 表示 重 定向 的 接口 。 
通过 查看 ACL 配置 ,确认 引流 地 址 正确 。 


<H3C>dis acl 3001 
Advanced ACL 3001, named -none-, 1 rule, 
Match-ALL-Address-Up 
ACL's step is 5 
rule 5 permit ip source 10.0.0.0 0.0.0.255 


rule 5 permit ip source 10. 0. 0. 0 0. 0. 0. 255 表示 匹配 业务 流量 。 
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查看 IPS/ACG 插 卡 上 安全 区 域 配 置 , 确 认 配 置 匹配 ,如 图 6-188 所 示 。 


= — 

`= BO: 由 和- 3-20-9 SRST -组 成， 且 首 字 辐 作 须 是 字号 或 朱 字 

$: ROHMAN ID 的 组合 对 不 能 本 256- 

axso azan 

enor 
E = 

10 

TU] wa nal r ml (0-4094, 082T.FUBETRSVLAN Ta 的 报 文 ) 
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图 6-188 新 建安 全 区 域 
查看 IPS/ACG 搬 卡 上 段 配置 ,确认 配置 正确 ,如 图 6-189 所 示 。 


6-189 ”新 建 段 


IPS(AcG) URL +Í ;Ë 2 BE tk fY HE £ 


y 志 示 上 一步 结果 下 
sy 表示 上 一 步 结果 出 现 问题 


* 
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= A. == = 6.3.7 IPS(ACG)URL 过 滤 功 能 š: 
06 安全 产品 y sa Ó as, 步骤 详解 


1. 开始 


URL(Uniform Resource Locator, 统 一 资源 定位 符 ) 过 滤 是 一 种 网 页 过 滤 功 能 。 目 前 IPS 
设备 支持 自 定义 URL 过 滤 ,ACG 设备 支持 自 定 义 URL 过 滤 和 分 类 URL 过 滤 。 

IPS(ACG)URL 过 滤 功 能 定位 故障 的 思路 是 : 首先 测试 功能 是 否 生效 ,根据 情况 来 判断 
是 配置 问题 还 是 存在 设备 误 识 别 问题 。 

2. 流程 图 相关 操作 说 明 

(1) 测试 过 滤 效 果 

URL 过 滤 是 否 生 效 , 可 以 通过 访问 被 阻 断 的 网 站 来 测试 。 在 未 开启 “二 层 回 退 ” 的 情况 
下 ,如 果 访 问 的 网 站 被 成 功 阻止 ,或 者 被 返回 应 答 页 面 ,或 者 重 定向 URL 成 功 ,这 说 明 过 滤 功 
能 生效 ,此 时 如 果 需 要 用 云图 排查 ,大 半 是 因为 日 志 没有 。 如 果 过 滤 功能 有 异常 ,甚至 配置 无 
误 , 那 就 需要 哪 找 云图 的 步骤 一 步 步 排查 了 。 

(2) 检查 日 志 设 置 

在 成 功 被 URL 过 滤 阻 断 的 情况 下 ,无 法 生成 日 志 需 要 排查 是 否 开启 日 志 记录 或 者 发 送 
syslog 功能 ,syslog 主机 是 否 配置 正确 。 

举例 : 在 导航 栏 中 单 击 "“URL 过 滤 ?” 一 "策略 管理 ,选择 “新 建 自 定义 规则 ?选项 。 如 
图 6-190 所 示 , 想 要 看 到 本 地 日志 ,需要 选择 记录 日 志 时 间 为 "所 有 时 间 ”, 这 样 当 有 网 站 访问 
被 审计 时 会 在 本 地 显示 日 志 。 


baidu (1-31 字符 注 : 中 文 占 三 个 字符 ) 
图 固定 字符 串 OENAR Ah 

www baiducom| x] (5-255 字符 注 : 中 文 占 三 个 字符 ) 
图 固定 字符 串 〇 正则 表达 式 
(5-255 字符 注 : 中 文 占 三 个 字符 ) 


所 有 时 间 ` 


所 有 时 间 N 


6-190 新建 自 定 义 URL 规则 


若 要 将 日 志 输出 到 syslog 主机 ,需要 在 导航 栏 中 单 击 *URL 过 滤 ”>“ 全 局 配置 ”选中 “ 输 
出 到 syslog 主机 ?” 复 选 框 ,并 在 “日 志 管 理 一 日 志 配 置 一 数据 日 志 ” 中 进行 主机 设置 ,如 图 6-191 
和 图 6-192 所 示 。 

(3) 检查 引流 配置 

URL 过 滤 功 能 要 求 双向 流量 都 经 过 设备 才能 成 功 生效 。 如 果 是 单 向 流 , 会 导致 部 分 或 者 
全 部 URL 过 滤 出 现 问 题 。 因 此 ,首先 要 检查 双向 流量 是 否 引 到 设备 上 。 
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[YI (1-503 =) 


SA 


浏览 - 
[me access is forbidden by policy! 


“asua #@ $: 中 文 上 三 个 字符 ) 


6-191 URL 过 滤 设 置 


天 (7-60) 


开启 口 
聚合 周期 60 
mm 
Syslog 主 机 1 
IPv4 地 址 17.1631.100 
端口 号 30514 
Syslog 主 机 2 
IPv4 地 址 
端口 号 
Sysiog 主 机 3 
IPv4 地 址 
端口 号 
Sysiog 主 机 4 


秒 (10-60) 


(1-65535) 


(1-65535) 


(1-65535) 


图 6-192 数据 日 志 配置 
举例 如 下 。 


Q@ “大概 看 ”"。 在 导航 栏 中 单 击 “ 报 表 ” 一 “ 报 文 统计 ”, 如 图 6-193 和 图 6-194 所 示 , 可 以 


看 到 单 向 的 实时 报 文 统计 ,如 果 段 的 双向 都 有 报 文 统计 ,说 明 双 向 流量 大 概 都 引 到 了 设 
备 上 。 


实时 报 文 分 布 信息 
方向 OMBI 〇 从 外 到 里 


图 6-193 ”实时 报 文 分 布 


© “仔细 看 ”。 在 导航 栏 中 单 击 “ 带 宽 管理 ”“ 策 略 管理 ”, 新 建 策略 应 用 ,默认 规则 工作 
选择 “permit 十 notify”, 通 过 带宽 管理 检测 所 有 流量 应 用 。 在 日 志 中 过 滤 出 想 要 的 五 元 组 日 


志 , 如 图 6-195 所 示 , 可 以 看 到 访问 网 站 的 流量 是 否 双向 被 检测 到 ,如 果 检 测 到 则 说 明 双向 引 
流 成 功 。 


(4) 查看 功能 配置 


新 建 自 定义 规则 的 配置 是 否 正确 , 段 下 发 是 否 正 确 ; 有 没有 激活 策略 ,匹配 的 是 正则 表达 
式 还 是 固定 字符 串 ,都 是 要 注意 的 地 方 。 
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6-194 实时 报 文 统计 


W [ 06o FRE PAINA) 

mit 号 — ]05 28 #: pat 
NNI Omt 〇 用 户 模式 

kbps S (8-.024,000 kbps) 


IES e 1,024,000 kops) 


g E} 状态 
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rz .. | 
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6-196 URL 过 滤 设置 


举例 : 全 局 下 必须 选中 “使 能 自 定义 的 URL 过 滤 ” 复 选 框 ,如 图 6-196 所 示 。 

固定 字符 串 模 式 下 域名 全 匹配 ,注意 字符 串 是 否 正确 。 如 果 要 匹配 含有 某 个 字符 串 的 所 
有 域名 ,建议 使 用 正则 表达 式 。 单 击 域名 正则 表达 式 后 面 的 “帮助 ”链接 ,会 弹出 “正则 表达 式 
使 用 说 明 ” 页 面 ,如 图 6-197 所 示 ,指导 用 户 如 何 配置 正则 表达 式 . 如 图 6-197 所 示 。 

阻 断 时 间 需 要 在 时 间 表 中 管理 ,具体 注意 事项 可 以 参考 配置 手册 。 

记录 日 志 可 以 选择 不 记录 或 者 记录 。 

配置 URL 过 滤 时 需要 注意 如 下 事项 。 


O 已 经 应 用 到 段 上 的 URL 过 滤 策 略 不 能 删除 ,需要 先 将 策略 应 用 列表 中 该 策略 的 应 用 
全 部 删除 后 ,才能 删除 策略 。 
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(1-31 字符 注 : 中 文 占 三 个 字符 ) 
图 固 证 字符 串 〇 上 正则 表达 式 。 帮助 

www.abc com (5255 字符 注 : 中 文 占 三 个 字符 ) 
Omre 〇 正则 表达 式 
(5255 字符 注 : 中 文 占 三 个 字符 ) 


记录 日 志 时 间 


6-197 正则 表达 式 使 用 说 明 


© 系统 预定 义 的 URL 过 滤 策 略 和 规则 不 能 删除 。 

© 一 个 报 文 在 一 个 段 上 只 能 匹配 一 条 URL 过 滤 策 略 。 当 一 个 段 上 应 用 了 多 个 URL 过 
滤 策 略 , 则 系统 在 对 报 文 进行 匹配 时 ,会 根据 策略 应 用 中 指定 的 IP 地 址 组 的 精确 程度 , 越 精 确 
的 ( 即 IP 地 址 范围 越 小 的 ) 策 略 应 用 越 优先 匹配 ; 当 有 多 个 策略 应 用 的 IP 地 址 范围 精确 程度 
相同 时 , 则 先 配置 的 策略 应 用 优先 匹配 。 

@ 如 果 新 建 策略 的 过 程 中 某 一 步骤 执行 失败 , 则 已 经 执行 过 的 步骤 都 将 进行 回 退 ; 而 对 
修改 策略 的 过 程 , 则 不 会 进行 回 退 。 

O 分 析 客 户 端 抓 包 。 有 时候 会 出 现 的 情况 即 URL 字符 串 和 域名 完全 匹配 ,其 他 URL 也 
成 功 阻 断 , 就 某 个 网 站 不 生效 。URL 自 定义 检查 的 是 http 头 的 host 字段 ,因此 可 以 通过 客户 
端 抓 包 找到 访问 网 站 的 报 文 , 在 报 文中 找到 host 字段 ,这 个 字段 的 URL 才 是 真正 的 URL。 
实际 域名 和 URL 不 相符 的 情况 时 有 发 生 , 请 注意 。 

举例 : 有 用 户 想 限制 taobao 网 站 ,但 是 在 检查 了 引流 ,配置 之 后 并 未 发 现 问 题 , 换 作 其 他 
域名 可 以 成 功 阻 断 。 通 过 抓 包 发 现 ,taobao 的 host 字段 的 内 容 和 过 滤 规 则 中 taobao. com 不 
匹配 ,可 以 把 图 6-198 中 host 中 的 字段 ,log. mmstat. com 作为 过 滤 的 关键 字 ,进行 过 滤 。 


aptured (6888 bits) 
61), Dst: Hangzhou_13:fa:lb (3c:e5:a6:13:fa:1b) 


Accept; */"\r\n 
[Referer: http://www. Taobao. comAr\n| 
Accept-Language 
[truncated] t:i pozitia, O Ccompatible; MSIE 8.0; windows NT 6.1; Trident/4.0; MathPlayer 2.0; g 
deflate\r\n 


Connection: Keep-Alive r\n 
Cookie: cna=x9haCowW6OH8CAdOMBJV3T+QN; sca=3d302e50; tbsa-8c6c91735b7f1b769762bb66_1372843157_14; atpsidaJ 


6-198 HEA) 
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大 多 数 网 站 ,referer 字段 和 host 字段 相同 ,如 图 6-199 抓 包 所 示 。 


35 3.383678 172.16.0.2 123.125.115.381 628 GET /passapT7js7umi-Togin-wrapper.Js?cdnvel 
36 3.391494 123.125.114.101 172.16.0.2 62 http - 54005 [SYN, ACK] Seq=0 Ack=1 win=81 


39 3.416374 123.125.115.81 60 http - 54006 [ACK] Seq=1 Ack=575 win=6888 
40 3.419404 123.125.115.81 172.16. 1308 HTTP/1.1 200 OK (text/javascript) 

41 3.449425 123.125.114.101 172.16. 60 http - 54005 [ACK] Seq=1 Ack=612 win-6721 
42 3.451591 123.125.114.101 — 172. 265 [TCP segment of a reassembled PDU] 

43 3.453098 123.125.114.101 172.16.0. 102 HTTP/1.1 200 OK (baiduapp/json) 


Accep 
Referer: http://www. baidu. com/\r\n 
Accept-Language: 2h-CN\F\h 

[truncated] User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; MathPlayer 2.0; SLCC2; . 


Accept-Encoding: gzip, deflate\r\n 
55] i 


图 6-199 抓 包 (2) 
© 检查 是 否 被 误 识别 。 误 识别 最 大 的 可 能 就 是 Client 或 Server 端 对 应 的 IP 被 加 入 了 
“P2P 端口 对 ”, 被 识别 成 加 密 P2P 流量 了 。 这 种 情况 一 般 会 出 现 用 户 网 络 中 只 是 部 分 用 户 出 
现 问题 的 现象 。 可 用 下 面 的 方法 确认 。 
举例 : 配置 针对 单个 测试 IP 的 带宽 管理 策略 ,default 服务 ,permit 十 notify。 然 后 查看 服 
务 日 志 , 看 看 协议 是 否 被 识别 成 P2P 或 其 他 协议 了 。 如 果 识 别 成 P2P 了 ,登录 串口 ,系统 视图 
下 查看 是 否 存 在 P2P 节点 。 


[H3C] display p2p 

P2P length serial identification is enabled. 
P2P precise identification is enabled. 

IPv4 UDP negotiate nodes: 0 

IPv6 UDP negotiate nodes: 0 

IPv4 TCP negotiate nodes: 4 

IPv6 TCP negotiate nodes: 0 


如 果 有 ,进入 shell 视图 (如 何 进入 shell 视图 请 咨询 总 部 工程 师 ) ,检查 P2P 端口 对 信息 。 
假设 测试 IP 地 址 为 a. b. c. d ,计算 c* 256 十 d 二 e, 然 后 执行 以 下 命令 。 


命令 : uaae_test -s T e 


uaae_test -s U e 

dmesg -c 
dmesg 显示 的 信息 中 如 果 出 现 了 a. b. c. d, 说 明 该 IP 被 加 入 端口 对 了 ,将 其 清除 即 可 。 
清除 端口 对 的 命令 。 
命令 : uaae_ test -s C 
说 明 : 加 入 端口 对 的 IP 地 址 ,应 该 是 之 前 有 过 加 密 P2P 下 载 的 动作 , 遇 到 端口 对 的 存在 

影响 了 其 他 应 用 的 情况 ,不 能 简单 归结 为 设备 加 密 P2P 识别 有 问题 。 具 体 问题 具体 分 析 。 

误 识别 问题 请 收集 信息 反馈 总 部 工程 师 作 进一步 分 析 。 
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6 安全 产品 > 6.3.8 IPS(ACG)Web 登录 故障 排查 步骤 详解 


1. 开始 

IPS/ACG 为 应 用 层 安 全 产品 ,提供 4 一 7 层 安 全 ,用 户 可 以 通过 Web 客户 端 登录 设备 进 
行 配置 管理 与 维护 。 

IPS/ACG Web 登录 故障 的 定位 思路 是 : 首先 检查 物理 线路 ,之 后 排查 浏览 器 设置 ,最 后 
检查 用 户 认 证 相关 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 接口 状态 

分 别 查 看 两 端 设备 的 接口 .协议 状态 是 否 Up。 如 果 接 口 状态 为 Down, 则 说 明 物 理 层 配 
置 RAA 

命令 : display interface [interface name] 

例如 : 通过 命令 查看 IPS/ACG meth0/2 当前 状态 Up, 协 议 Up, 如 果 接 口 当 前 状态 为 
Down 或 者 协议 为 Down, 则 判断 该 接口 状态 异常 。 


<H3C>display interface meth0/2 
Interface meth0/2 
input packets 1323213677, bytes 1639640697 
output packets 226530, bytes 25619797 
administration state Up, line state Up 
1000Mbps-speed mode, full-duplex mode 
Link speed type is autonegotiation, link duplex type is autonegotiation 
combo enable copper 
inet add: 10.153.42.87, Mask 255.255.255.0 


(2) 检查 物理 线路 

根据 不 同 接口 类 型 选 配 相应 的 接口 线 缆 , 并 确保 线 缆 连 接 正确 ; 通过 命令 可 以 查看 接口 
的 双 工 速率、 协商 类 型 . 光 / 电 口 类 型 。 

MS: display inter face [inter face name] 

例如 : 通过 命令 查看 IPS/ACG meth0/2 的 双 工 .速率 .协商 类 型 . 光 / 电 口 类 型 。 

O speed mode: 当前 速率 模式 。 

@ duplex mode: 当 前 双 工 模式 。 

@ Link speed type: 速 率 配置 类 型 ,autonegotiation 表示 自 协商 ,force link 表示 用 户 
配置 。 

@ link duplex type: 双 工 配置 类 型 ,autonegotiation 表示 自 协商 ,force link 表示 用 户 
配置 。 

@ combo enable; combo 接口 的 激活 状态 ,copper 表示 电 口 被 激活 ,fiber 表示 光 口 被 


<H3C>4display interface meth0/2 
Interface meth0/2 
input packets 1323213677, bytes 1639640697 
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output packets 226530，bytes 25619797 

administration state Up, line state Up 

1000Mbps-speed mode, full-duplex mode 

Link speed type is autonegotiation, link duplex type is autonegotiation 
combo enable copper 

inet add: 10.153.42.87, Mask 255.255.255.0 


当 IPS/ ACG 的 接口 速率 、 双 工 模式 、 光 / 电 口 类 型 与 客户 端 均一 致 时 才 正 常 。 
(3) 判断 路 由 是 否 可 达 
命令 : ping 工 . 工 . 工 . 工 


例如 : 通过 命令 查看 ,可 以 确认 IPS/ACG 与 客户 端 之 间 路 由 可 达 。 


<H3C>ping 10.10.241.239 

PING 10.10.241.239 (10.10.241.239) 56(84) bytes of data. 

64 bytes from 10.10.241.239: icmp_seq=1 ttl=126 time=3.00 ms 
64 bytes from 10.10.241.239: icmp_seq=2 ttl=126 time=72.0 ms 
64 bytes from 10.10.241.239: icmp_seq=3 ttl=126 time=4.00 ms 
64 bytes from 10.10.241.239: icmp_seq=4 ttl=126 time=3.00 ms 


--- 10.10.241.239 ping statistics --- 
4 packets transmitted, 4 received, 0% packet loss, time 3001ms 
rtt min/avg/max/mdev = 3.000/20. 500/72. 000/29.736 ms 


(4) 检查 路 由 配置 

如 客户 端 与 IPS/ ACG 管理 口 直 连 ,确保 二 者 在 同一 网 段 即 可 ,不 需 再 检查 路 由 。 

D 查看 IPS/ACG 的 路 由 表 中 是 否 存在 到 达 客 户 端的 路 由 。 

MS: display ip route-static 

例如 : 通过 命令 查看 ,可 以 确认 IPS/ACG 上 有 到 达 客 户 端的 路 由 0. 0. 0.0 0.0.0.0, F— 
跳 是 10. 153. 42. 1 。 


[H3C]display ip route-static 


Destination Genmask Gateway 
10.153.42.0 255.255.255.0 0.0.0.0 
0.0.0.0 0.0.0.0 10.153.42.1 


@ 查看 客户 端 是 否 有 到 IPS/ ACG 的 路 由 。 

命令 : route print 

例如 : 通过 命令 查看 ,客户 端 有 到 IPS/ACG 的 路 由 0.0.0.0 0.0.0.0, 下 一 跳 是 
10. 10. 240. 1 ,此 时 需 检 查 10. 10. 240.1 上 是 否 有 到 达 IPS/ACG 的 路 由 。 


C:\Users\H3C> route print 
IPv4 路 由 表 
活动 路 由 : 
网 络 目 标 网 络 掩 码 网 关 接口 KAM 
0.0.0.0 0.0.0.0 10.10.240.1 ”10.10.241.239 25 
10.10.240.0 255.255.248.0 在 链 路 上 10.10.241.239 281 


4 IPS/ACG 和 客户 端 之 间 均 有 到 达 对 方 的 路 由 , 则 判断 路 由 无 问题 。 
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(5) 判断 Web 登录 界面 可 否 打开 
IPS/ACG 默认 开启 HTTPS 登录 方式 且 不 可 关闭 ,通过 浏览 器 访问 https://x. x. x.x 检 
查 Web 登录 界面 是 否 能 打开 ,如 图 6-200 所 示 。 


@ 此 网 站 的 安全 证 书 存在 问题 . 
此 网 站 出 具 的 安全 证 书 不 是 由 受信 任 的 证 书 颁 发 机 构 颂 发 的 。 
此 网 站 出 具 的 安全 证 书 是 为 其 他 网 站 地 址 颁发 的 . 
安全 证 书 问题 可 能 显示 试图 欺骗 你 或 截获 你 向 服务 器 发 送 的 数据 . 


建议 关闭 此 网 页 ,并且 不 要 继续 浏览 该 网 站 . 
O 单 击 此 处 关闭 该 网 页 。 
O 继续 浏览 此 网 站 (不 推荐 ). 


@ 详细 信息 


图 6-200 登录 界面 (1) 
图 6-201 为 正常 打开 的 IPS/ACG Web 登录 界面 。 


6-201 登录 界面 (2) 


(6) 检查 浏览 器 设置 

建议 使 用 下 浏览 器 ,对 于 高 版 本 浏览 器 ,可 设置 兼容 性 视图 ,并 加 入 可 信 站 点 。 

兼容 性 视图 设置 路 径 :“ 浏 览 器 工具 一 兼容 性 视图 设置 一 添加 ”。 兼 容 性 视图 设置 如 
图 6-202 所 示 。 

加 入 可 信 站 点 路 径 :“ 浏 览 器 工具 一 Internet 选项 ~ 安全 一 受信 任 的 站 点 一 站 点 一 添 
加 ”。 受 信任 站 点 如 图 6-203 所 示 。 

说 明 : 如 浏览 器 设置 正常 但 还 是 不 能 打开 Web 登录 界面 , 则 需 收 集 设 备 的 诊断 信息 、 版 
本 信息 、 系 统 日 志 、 操 作 日 志 及 浏览 器 截图 。 

命令 : collect diag_info [TFTP SERVER IP] 


节理 > 安全 产品 667 


已 添加 到 兼容 性 视图 中 的 P36 0 
10.153.42 31 
10.153.42.86 


10.66.8.36 将 该 网 站 添加 到 区 域 了) 


172.40.5.251 


180.139.91.53 https://10.153.42.87 


218.75.89.85 FBA 
2 180 i w http://10. 153. 42. 85 - 
i; http://10. 74.33. 162 国 
jh3ec. com 
http: //60.173.202.249 
回 在 兼容 性 视图 中 显示 Intranet 站 点 加 Hos EES x 


回 使 用 Microsoft 兼容 性 列表 V s= aza - 
阅读 Internet Explorer 隐 乱 吉明 了 解 详细 信息 辐 对 该 区 域 中 的 所 有 站 点 要 求 服务 器 验证 https:) S) 


(wew J 


图 6-202 兼容 性 视图 设置 图 6-203 受信 任 站 点 


例如 : 通过 命令 将 IPS/ACG 的 诊断 信息 导出 至 TFTP 服务 器 10. 10. 241. 239, 如 图 6-204 


所 示 。 


CH3C] collect diag_info 10.10.241.239 


图 6-204 3CDaemon 


MS: display version 


例如 : 通过 命令 查看 ACG 的 版 本 信息 。 


< H3C>4isplay version 
H3C i-Ware Platform Software 
i-Ware software, Version 1.10, Ess 6119P06 
Signature database, Version APP 1.1.265 
Copyright (c) 2004-2014 Hangzhou H3C Technologies Co. Ltd. All rights reserved. 
Without the owner's prior written consent, no decompiling nor reverse-engineering shall be allowed. 
SecBlade ACG Uptime is 0 week(s), 2 day(s), 00 hour(s), 28 minute(s) 


CPU type: RMI XLR732 
Flash Memory: 4M bytes 
CF card Memory: 249M bytes 


Pcb Version: Ver. A 
CPLD Version: 1.0 
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BASIC BOOTWARE Version: 1.19 
EXTEND BOOTWARE Version: 1.19 
[SLOT 0] LSQIACGASCO (hardware)Ver.A, (Driver)1.0, (Cpld) 1.0 


系统 日 志 收 集 路 径 :“ 日 志 管 理 一 系统 日 志 一 日 志 查询 一 查询 一 导出 到 CSV”。 

操作 日 志 收 集 路 径 :“ 日 志 管理 一 操作 日 志 一 日 志 查询 一 查询 一 导出 到 CSV”。 

(7) 判断 认证 是 否 通过 

在 Web 登录 界面 输入 用 户 名 /密码 后 ,如 登录 成 功 ,设备 会 跳 转 至 主 界面 ,否则 页 面 会 弹 
出 提示 信息 。 

设备 主 界面 如 图 6-205 所 示 。 
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6-205 设备 主 界面 


登录 不 成 功 时 页 面 可 能 出 现 如 图 6-206 一 图 6-208 所 示 提 示 信 息 。 
| 


图 6-206 ”提示 信息 (1) 图 6-207 ”提示 信息 (2) 图 6-208 提示 信息 (3) 


(8) 检查 用 户 认 证 相关 配置 

O IPS/ACG 登录 采用 本 地 认证 方式 。IPS/ACG 默认 管理 员 账号 /密码 为 admin/admin, 
该 账号 不 可 删除 ,管理 员 可 修改 此 密码 。 

当 登 录 界 面 提示 用 户 名 /密码 错误 或 者 提示 用 户 已 经 被 锁定 时 ,首先 确认 用 户 名 /密码 是 
否 正确 。 对 于 普通 用 户 ,如 忘记 用 户 名 /密码 或 是 账号 被 锁定 ,可 联系 管理 员 处 理 , 管 理 员 可 修 
改 普通 用 户 的 密码 及 解除 账号 锁定 。 对 于 管理 员 , 如 忘记 Web 登录 密码 , 则 只 能 进入 命令 行 
重 置 密码 。 


命令 : reset web-admin-user-password 
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例如 : 通过 命令 重 置 管理 员 账 号 admin 的 Web 登录 密码 ,如 图 6-209 所 示 。 


[H3C] reset web-admin-user-password 


SecBlade ACG 


a 


6-209 ”修改 密码 


说 明 : 默认 情况 下 , 当 连 续 3 次 输入 密码 错误 , 则 对 应 的 用 户 名 被 锁定 30 分 钟 ,可 等 待 30 
分 钟 重新 输入 用 户 名 /密码 ,或 者 具有 LEVEL 3 级 别 的 用 户 手工 解除 锁定 。 管 理 员 可 在 安全 
策略 中 进行 参数 配置 ,如 图 6-210 所 示 。 


SecBlade ACG 


图 6-210 配置 锁定 用 户 名 时 间 


© IPS/ACG 登录 采用 RADIUS 认证 。 由 于 RADIUS 协议 采用 UDP 报 文 来 承载 数据 ， 
因此 通信 过 程 是 不 可 靠 的 。 如 果 在 指定 的 服务 器 应 答 超 时 时 间 内 没有 收 到 服务 器 的 响应 , 则 
设备 有 必要 向 RADIUS 服务 器 重 传 RADIUS 请 求 报 文 。 如 果 发 送 RADIUS 请 求 报 文 的 累计 
次 数 超过 指定 的 最 大 尝试 发 送 次 数 而 RADIUS 服务 器 仍旧 没有 响应 , 则 设备 将 尝试 与 其 他 服 
务 器 通信 ,如 图 6-211 所 示 。 

说 明 : 使 能 RADIUS 认证 功能 后 ,用 户 通 过 Web 登录 设备 均 采 用 RADIUS 认证 ,本 地 认 
证 不 再 生效 , 即 不 能 再 通过 本 地 用 户 名 /密码 Web 登录 设备 。 如 需 恢复 至 本 地 认证 , 则 应 在 命 
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图 6-211 RADIUS 认证 配置 


令 行 系统 视图 下 执行 相关 命令 。 
MA: disable web-radius-auth 


例如 : 通过 命令 恢复 至 本 地 认证 。 


[H3C] disable web-radius-auth 


un 6.3.9 IPS(ACG) 带 宽 管理 功能 N 


IPS (aca) 带 贸 嘉 理 功能 故 隆 排查 


y 示 示 上 一 步 结果 正 虽 


---y 表示 上 一步 结果 内 更 问题 


拨打 热线 
400-310-0504 
4EM 
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TER E ) 带 宽 管理 功能 
DEDIT aD 


1. 开始 

网 络 流量 按照 其 用 途 的 不 同 划 分 成 不 同 的 服务 类 型 ,例如 E-mail 服务 .VolP 服务 等 ,对 
不 同 的 服务 类 型 实施 不 同 的 管理 控制 行为 , 称 为 带宽 管理 。 因 此 ,带宽 管理 包括 两 个 主要 部 
分 : 服务 和 针对 一 个 具体 服务 的 控制 行为 。 

IPS/ACG 带宽 管理 定位 故障 的 思路 是 ,通过 查看 设备 工作 模式 ,引流 配置 ,确认 设备 二 
层 回 退 状 态 ,查看 带宽 管理 全 局 配置 ,查看 带宽 管理 具体 配置 等 步骤 逐步 排查 ,确认 问题 
所 在 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 设备 工作 模式 

通过 登录 ACG 插 卡 ,查看 设备 目前 的 工作 模式 : 直 连 或 者 旁 路 。 如 果 为 旁 路 部 署 , 需 修 
改 为 直 连 部 署 。 

例如 : 通过 Web 页 面 查看 ACG 当前 工作 模式 ,如 图 6-212 所 示 。 


加 只 上 报 日 志 OREHA 
管理 口 C gz C 自 定义 


i£: 与 干扰 口 要 检 接口 的 MAC 地 址 


6-212 工作 模式 


通过 Web 页 面 ,可 以 查看 到 连接 模式 处 于 直 连 模式 ,应 用 模式 为 完整 功能 集 , 在 此 情况 
下 ,带宽 管理 的 限 速 策略 才能 生效 。 

(2) 查看 设备 引流 配置 

通过 登录 ACG li F ,查看 设备 安全 域 配置 ,确认 设备 内 部 域 接口 和 外 部 域 接口 选择 无 
错误 。 

例如 : 如 图 6-213 所 示 ,通过 Web 页 面 查看 ,内 部 域 所 选 端 口 为 连接 内 网 端口 ,外 部 域 所 
选 端口 为 连接 外 部 域 端口 ,如 图 6-214 所 示 。 


安全 区 域 


"4 in v (1-31 字符 ) 
egal š: ROVAN IO8B 合 对 不 明和 过 32- 
Baan _ magn 
eth0/2 eth0/3 
ao E= 
VAN TID Bs (0-4094, ORTIRTEVLAN Tag83 报 文 ) 
wn 


图 6-213 ”安全 区 域 (1) 
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6-214 安全 区 域 (2) 


由 图 6-213、 图 6-214 可 以 看 出 内 部 域 端口 定义 为 eth0/2 ,外 部 域 端口 定义 为 eth0/3。 
查看 ACG 上 段 配 置 ,确认 内 部 域 以 及 外 部 域 成 功 关 联 , 并 正确 调用 。 
例如 : 通过 ACG 插 卡 的 Web 页 面 , 查 看 ACG 搬 卡 段 配置 ,如 图 6-215 所 示 。 


图 6-215 ”修改 段 
如 图 6-215 所 示 , 通 过 查看 段 配置 ,确认 内 部 域 为 in, 接 口 为 eth0/2, 外 部 域 为 out, 接 口 为 
eth0/3, 关 联 段 为 0。 
(3) 查看 二 层 回 退 状态 
查看 ACG 插 卡 二 层 回 退 状 态 ,确认 设备 处 在 正常 工作 状态 。 


例如 : 通过 Web 页 面 ,查看 设备 二 层 回 退 状态 ,设备 是 否 使 能 了 二 层 回 退 ,如 图 6-216 
所 示 。 


0 % (1-100, MiA50%) 


5 分 种 (230, 5910 


图 6-216 二 层 回 退 状态 
如 图 6-216 所 示 ,通过 查看 设备 二 层 回 退 状态 ,确认 设备 未 使 能 二 层 回 退 功能 ,当前 设备 
处 于 正常 工作 模式 。 
(4) 查看 引流 功能 
带宽 管理 功能 要 求 双 向 流量 都 经 过 设备 才能 成 功 生效 。 如 果 是 单 向 流 , 会 导致 部 分 或 者 
全 部 带宽 管理 出 现 问题 。 因 此 ,首先 要 检查 双向 流量 是 否 引 到 设备 上 。 
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例如 如 下 几 方 面 。 
@ “大概 看 ”"。 在 导航 栏 中 单 击 “ 报 表 ” 一 “ 报 文 统计 ”, 可 以 看 到 单 向 的 实时 报 文 统计 ， 
如 果 段 的 双向 都 有 报 文 统计 ,说 明 双 向 流量 大 概 都 引 到 了 设备 上 ,如 图 6-217 和 图 6-218 
所 示 。 
实时 报 文 分 布 信息 


方向 。 加 从 里 到 外 〇 从 外 到 里 ESE  @mitm 〇 柱状 图 


6-217 ”实时 报 文 分 布 


| Kun a] 
"1517tes00y 


6-218 实时 报 文 统计 


@“ 仔 细 看 ”。 在 导航 栏 中 单 击 “带宽 管理 ”>“ 策 略 管理 ”, 新 建 策略 应 用 ,默认 规则 工作 
选择 “permit 十 notify”, 通 过 带宽 管理 检测 所 有 流量 应 用 。 在 日 志 中 过 滤 出 想 要 的 五 元 组 日 
志 , 如 图 6-219 所 示 , 可 以 看 到 访问 网 站 的 流量 是 否 双 向 被 检测 到 ,如 果 检 测 到 则 说 明 双 向 引 
流 成 功 。 


ksi (83 字符 $: 中 文 占 三 个 字符 ) 
mit 051 字符 £: 中 文 点 三 个 字符 ) 
| BETER Omt 〇 用 户 模式 
OFRAMNSRENETER FEBS e- 1,024,000 kops) 
ORRANSRENTIER FEET ie- 1,024,000 wwos) 
— 
| . 服务 tE HAR 动作 集 tm FRR Ri 
辐 “ 国 [Defauh eE v] [所 有 时 间 。 v| 信 [Permit+Notfy ` 一 一 村 


注 : JRDN03 E 、 下 行 芝 宫 取 值 范围 为 0 或 -1.024.000， 单 位 为 kbps* 0 志 示 不 限 连 = 


WE 
口 8 Wm amg 2 ae 
Ee E 


图 6-219 新 建 策略 应 用 
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(5) 查看 带宽 管理 配置 
查看 ACG 带宽 管理 全 局 配置 ,确认 多 条 策略 无 地 址 重复 调用 。 
例如 : 通过 查看 ACG 的 Web 页 面 ,查看 带宽 策略 调用 地 址 情况 ,如 图 6-220 所 示 。 


A a K ERKE ERAK ASEP Wa IPER Tfimm0es, PERNS NUA EF 
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Ë sevce Co. aat 3 
mA 总 共 2 杀 | 


6-220 ”带宽 策略 调用 地 址 


如 图 6-220 所 示 ,ACG 带宽 管理 策略 中 ,无 地 址 重复 调用 情况 , 仅 策略 名 称 为 迅雷 1 的 策 


略 生效 ,应 用 于 段 0 上 。 
查看 ACG 带宽 管理 配置 ,确认 配置 了 基于 应 用 的 策略 。 
例如 : 通过 ACG 的 Web 页 面 ,查看 设备 带宽 管理 的 配置 ,确认 设备 配置 了 正确 的 应 用 配 


置 ,如 图 6-221 所 示 。 


带宽 管理 第 响应 用 
ORRERA “| 
"名称 迅雷 1 (1-63 字符 i£: 中 文 占 三 个 字符 ) 
mt (0-511 字符 注 : 中 文 占 三 个 字符 ) 
第 略 工 作 模 式 回 组 模式 © 用 户 模式 
回 本 组 规则 总 流量 的 上 行 带宽 I 
国 本 组 规 由 总 流 里 的 下 行 带宽 
s mmm 
服务 基态 时 间 表 动作 集 上 行 带 宽 FIRA 。 操作 
O A Defaut 使 能 + MANE + a Permit ` š 
迅雷 使 能 + ”所 有 时 间 > el Block+Notify ` = 
HA EE 
° mume 
r] B 管理 区 域 匹配 方式 内 部 域 IP 外 部 域 IP 
0 内 部 域 IP 地 址 All IPv4 "e APA 
F | Wm | 
6-221 带宽 管理 策略 应 用 
如 图 6-221 所 示 ,迅雷 1 的 带宽 管理 策略 中 ,配置 了 限制 迅雷 的 规则 ,动作 集 为 Block 十 


Notify, 应 用 在 段 0 上 ,匹配 内 部 和 外 部 所 有 IP。 
(6) 判断 是 否 为 误 识别 
在 上 述 信息 均 确 认 无 误 的 情况 下 ,通过 配置 测试 IP ,进行 信息 收集 。 
收集 方法 如 下 。 
O 配置 测试 IP, 如 本 机 测试 IP 地 址 并 应 用 于 段 策略 中 ,如 图 6-222 和 图 6-223 所 示 。 
© 策略 中 规则 动作 配置 为 permit 十 notify, 如 图 6-224 所 示 。 
© 策略 激活 后 ,进行 需要 限制 的 业务 访问 ,导出 服务 日 志 , 如 图 6-225 所 示 。 
@ 记录 设备 特征 库 版 本 信息 ,如 图 6-226 所 示 。 
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pm test (1-63 字符 注 : PRANA) 
协议 回 IP4 © IP6 
192 168 11/32 IPv4 地 址 
I 
IF 地 址 列表 [ m l 
(最 多 4096 个 ) 
w 
IPv4 地 址 二 
I 
ONPE Cem | 
《最 多 256 个 ) 
sma 
ES (0 为 必须 填写 项 
图 6-222 新 建 IP 地 址 组 
全 策略 应 用 范围 | 
m 段 管理 区 域 匹配 方式 内 部 域 IP 外 部 域 IP E 
mo 内 部 域 ~ IP 地 址 test -ü AlIP4 -位 FR 
PER: E23 
图 6-223 策略 应 用 范围 
| 
| 服务 状态 HAS 
O BJ Default _ 使 能 > ”所 有 时 间 + o) 
迅雷 使 能 > MARA + el Permit+Notify ` = -~ m. 
Cm J s 
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RRES -Al- ~ 协议 类 型 全 部 ~ 
动作 类 型 ELE 
m A 任意 ~ 
HIP 目的 PP 
RO 目的 庙 口 
开始 时 间 | 结束 时 间 — EE 
时 间 服务 县 Db me 目的 p gar YGS 应 用 协议 计数 PacketTrace 


6-225 ”服务 日 志 查 询 


APP 11199 20111110 
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有 效 日 期 


特性 有 效 日 期 


图 6-227 License 信息 


@ 记录 所 使 用 软件 版 本 ,如 迅雷 ,如 图 6-228 所 示 。 


Q Powered by BOLT UlEngine 


记录 输出 后 ,一 并 反馈 总 部 处 理 。 


拨打 执 线 
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ETE 6.3.10 IPS(ACG) 日 志 功 能 š 
安全 产品 y sa 2 a 步 又 详解 


1. 开始 

IPSCACG) 日 志 功 能 问题 定位 故障 的 思路 是 : 首先 检查 系统 时 间 是 否 正确 ,然后 检查 与 日 
志 功 能 相关 的 各 项 配置 是 否 正 确 ,然后 检查 系统 工作 状态 是 否 正确 ,最 后 通过 搭建 日 志 主 机 等 
方式 验证 设备 日 志 功 能 是 否 正常 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 系统 时 间 

查看 设备 当前 时 间 是 否 正确 。 因 为 IPSCACG) 产 生 各 类 日 志 时 将 以 系统 时 间 为 基准 添加 
时 间 截 ,因此 如 果 系 统 时 间 不 正确 ,将 使 设备 日 志 查 询 模块 或 日 志 服 务 器 无 法 根据 当前 的 实际 
时 间 将 日 志 展 示 出 来 。 盒 式 设 备 的 系统 时 间 可 由 管理 员 手 工 配置 ,也 可 通过 指定 NTP 服务 
器 进行 同步 ,注意 应 当 为 设备 配置 正确 的 时 区 ,中 国 国 内 为 东 八 区 ; 捅 卡 式 设备 的 系统 时 间 是 
通过 ACSEI 协议 与 路 由 交换 主机 进行 同步 的 ,因此 需要 为 路 由 交换 主机 配置 正确 的 系统 时 间 
和 时 区 ,同样 推荐 使 用 NTP 协议 来 实现 时 钟 同步 。 

当 IPSCACG) 与 H3C SecCenter 配合 使 用 时 ,推荐 设备 及 安装 SecCenter 的 服务 器 操作 
系统 均 配 置 为 东 八 区 ,并 与 Internet 上 的 NTP 服务 器 保持 时 钟 同步 。 此 时 在 SecCenter 上 添 
加 IPS(ACG) 的 设备 访问 参数 中 ,时 间 纠 正方 式 必须 选择 “以 本 地 时 间 处 理 ”。 

例如 : 可 以 在 设备 Web 管理 页 面 “系统 管理 习 设 备 管理 习 系 统 信 息 ” 中 查看 到 IPS 
(ACG) 设 备 的 当前 时 间 , 如 图 6-229 所 示 。 


T r i-Ware software, Version 1.10, Ess 2113P08 
È PCB 硬件 版 本 VerA 

Ë 。 CPLD 硬件 版 本 20 

日。 800TWARE 基 本 段 版 本 149 

昌 ”BOOTWARE 扩 展 自 版 本 119 

£ “IPS 特 征 库 版 本 12291 

£ ”AV_SS 特 征 库 版 本 11324 

8 设备 序列 号 210231A0AWH113000014 
š 系统 名 称 H3C 

Ë FWEDMAC3ENIL 3822-d63a-59ac 

i 

8 FANE GMT+08:00 
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(2) 检查 管理 口 配置 

IPSCACG) 设 备 必须 通过 管理 口才 能 将 日 志 报 文 发 送 至 远程 日 志 主机 上 ,因此 需要 保证 
管理 口 配置 正确 ,设备 指向 网 管 服 务 器 /远程 日 志 主 机 的 路 由 正确 ,管理 端口 工作 状态 正常 。 
盒 式 设备 默认 路 由 应 当 指 向 管理 端口 所 在 网 段 的 网 关 设 备 ; 插 卡 式 设 备 默认 路 由 应 当 指向 前 
面板 口 所 在 网 段 的 网 关 设 备 , 即 不 允许 通过 插 卡 与 路 由 交换 主机 的 内 联 口 作 为 管理 设备 和 日 
志 发 送 的 通道 ,必须 使 用 插 卡 前 面板 口 。 注 意 同 时 检查 与 管理 口 互联 的 对 端 设备 接口 工作 状 
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态 是 否 正 常 ,速率 双 工 是 否 一 致 ,收发 数据 报 文 是 否 存 在 错 包 等 。 

例如 : 可 以 在 设备 Web 管理 页 面 “系统 管理 一 网 络 管理 一 管理 口 ” 中 查看 到 IPS(ACG) 
设备 的 管理 端口 地 址 / 掩 码 、 路 由 配置 。 该 设备 的 管理 端口 为 meth0/2, 管 理 IP 地 址 为 
172. 31.0. 14, 配 置 的 网 关 为 172. 31. 0.1, 分 别 如 图 6-230 和 图 6-231 所 示 。 


管理 口 配置 
Tv 

管理 权限 口 HrrP 国 HTTPS []ssH EITELNET 

Ping 测试 

| 这 | 
图 6-230 管理 口 配置 

静态 路 由 

Ü 目的 地 址 网 关 操作 

[j 17231.00 255.255.255.0 0.0.0.0 


6-231 静态 路 由 


例如 : 可 以 在 设备 Web 管理 页 面 “ 系 统管 理 一 网 络 管理 一 接口 配置 "中 查看 到 IPS 
(ACG) 设 备 的 管理 端口 连接 正常 ,当前 状态 为 1000Mbps 全 双 工 ,如 图 6-232 所 示 。 


接口 连接 状态 ROAM MURS EE 速率 协商 结果 NI Brh 
metho11 ° [copper v| [down v| [ 自 协商 V| 未 知 自 协商 v| 未 知 
Imetho/2 ° copper v| |up v| | 自 协 商 v| 1000m 自 协商 v| WI 
meth0/3 ° copper v| | down v| | 自 协商 v| 未 知 自 协 商 v| 未 知 
meth0/4 ° copper v| |down v| | 自 协商 v| 未 知 自 协 商 v| 未 知 
xeth0/0 ° copper v| [up ~| |10000M v 全 双 工 v 
确定 
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(3) 检查 日 志 管 理 配 置 

IPSCACG) 系 统 的 日 志 配 置 模块 用 于 对 各 种 日 志 的 保存 和 输出 参数 进行 配置 ,具体 包括 
“配置 设备 日 志 ” 和 “配置 数据 日 志 ” 两 部 分 。 前 者 用 于 配置 系统 日 志和 操作 日 志 的 本 地 保存 / 
远程 输出 相关 参数 ,后 者 用 于 配置 数据 日 志 的 最 大 保存 天 数 、Syslog 主机 、 发 送 日 志 E-mail 和 
邮件 服务 器 的 相关 参数 。 

设备 日 志 主 要 包含 系统 日 志和 操作 日 志 , 分 别 为 设备 运行 过 程 中 有 关 自 身 状态 的 日 志 信 
息 和 管理 员 在 设备 上 执行 各 类 操作 的 相关 日 志 信 息 。 当 与 H3C SecCenter 配合 时 ,由 于 其 默 
认 的 安全 设备 Syslog 接口 端口 为 UDP 30514, 因 此 在 检查 配置 时 需 注意 设备 发 送 端 口 配 置 是 
否 和 日 志 服 务 器 接收 端口 一 致 。 如 果 希 望 在 设备 本 地 查看 相关 日 志 , 需 注意 由 于 硬件 存储 空 
间 十 分 有 限 , 当 设备 存储 日 志 占 用 的 存储 空间 超过 了 设置 的 阔 值 后 ,系统 将 自动 删除 最 老 的 日 
志文 件 , 同 理 , 系 统 也 会 自动 删除 超过 了 “本 地 日 志 最 大 保存 天 数 ” 的 日 志文 件 。 可 以 通过 删除 
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无 用 的 版 本 文件 和 设置 较 长 的 日 志保 存 天 数 , 使 IPSCACG) 本 地 存储 更 多 的 日 志 。 

例如 : 可 以 在 设备 Web 管理 页 面 “日 志 管 理 ~ 日 志 配置 -设备 日 志 ” 中 ,查看 IPS(ACG) 设 备 已 
经 开启 发 达 系统 日 志 及 操作 日 志 , 如 图 6-233 所 示 ,指定 的 日 志 服务 器 地 址 为 172. 30. 255. 200, 
目的 端口 为 30514。 


UFRS 回 操作 日 志 


地 址 |172 30.255.200 


30514 讽 口 范围 为 [1.65535] 


远程 日 志 时 间 战 格式 O Mmm dd hh:mm:ss YYYY (例如 : Feb 4 11:51:45 2006) 
(@YYYY-MM-DD hh:mm:ss _( filÉ0: 2006-09-17 11:36:40) 
KS a 1 60 %(20~80) 9MB (# 15MB) 
本 地 日 志 最 大 保存 天 孝 O30 天 
Os 
O18380% 
图 365 天 
osx E | 天 0-365) 
| WE 
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数据 日 志 是 指 IPS 攻击 防范 日 志 、AV 防 病毒 日 志 、 带 宽 管理 服务 日 志 、URL 过 滤 日 志 科 
安全 策略 相关 的 日 志 。 需 准确 配置 Syslog 主机 的 IP 地 址 和 端口 号 ,设备 才能 将 产生 的 数据 
日 志 输 出 到 指定 的 远程 日 志 主 机 。 当 与 H3C SecCenter 配合 时 ,由 于 其 默认 的 安全 设备 
Syslog 接口 端口 为 UDP 30514。IPSCACG) 本 地 数据 库 中 能 保存 的 数据 日 志 条 数 有 一 定 的 限 
制 , 超 过 限制 后 系统 会 自动 从 最 老 的 日 志 开 始 删除 数据 日 志 的 10%。 

例如 : 可 以 在 设备 Web 管理 页 面 “ 日 志 管 理 一 日 志 配 置 一 数据 日 志 ” 中 查看 到 IPS 
(ACG) 设 备 数 据 日 志 的 最 大 保存 天 数 、Syslog 主机 配置 等 ,如 图 6-234 所 示 。 
on 


yo 主机 1 
IPv4 地 址 172.30.255.200 


端口 号 30514 (1-565535) 


Syslog 主 机 2 
IPv4 地 址 


端口 号 (1-65535) 


Syslog 主 机 3 
IPv4 地 址 


端口 号 (1-65535) 


Syslog 主 机 4 
IPv4 地 址 


端口 号 (1-65535) 
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(4) 检查 动作 管理 配置 
IPSCACG ) 动 作 管理 模块 用 于 对 动作 和 动作 集 的 管理 。 动 作 集 是 一 组 动作 的 集合 ,可 以 
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被 IPS 攻击 防范 策略 .AV 防 病毒 策略 、 带 宽 管 理 策略 `URL 过 滤 策 略 等 安全 策略 引用 ,可 设 
置 对 命中 策略 的 业务 流量 所 采取 的 动作 。 动 作 包 括 阻 断 动作 、 通 知 动作 和 报 文 跟踪 上 传动 作 
三 类 ,与 IPSCACG) 日 志 功 能 有 关 的 是 通知 动作 。 通 知 动作 包括 三 种 具体 的 方式 : E-mail 通 
知 、 输 出 到 本 地 数据 库 、 输 出 到 Syslog 主机 。 当 需要 直接 在 IPSCACG) 设 备 上 查看 各 安全 策 
略 产 生 的 日 志 时 , 须 使 用 输出 到 本 地 数据 库 方式 ; 当 需 要 与 远程 日 志 服 务 器 如 H3C 
SecCenter 配合 时 , 须 使 用 输出 到 Syslog 主机 方式 。 通 知 动作 可 以 被 引用 至 动作 集中 ,动作 集 
可 以 被 IPS(ACG) 的 各 类 安全 策略 引用 ,指导 设备 按 客户 需求 产生 和 输出 日 志 。 

系统 预定 义 的 “Notify” 动 作 默 认 仅 定义 了 通知 到 数据 库 , 即 把 日 志保 存在 设备 本 地 。 如 
果 和 希望 将 日 志 发 送 给 远程 主机 ,可 添加 通知 到 syslog 主机 参数 ,也 可 由 管理 员 新 建 一 个 包含 
通知 到 syslog 主机 参数 的 自 定义 通知 动作 。 

例如 : 可 以 在 设备 Web 管理 页 面 “ 系 统管 理 一 动作 管理 一 通知 动作 列表 ”中 查看 到 预定 
义 和 自 定义 的 通知 动作 。 如 图 6-235 所 示 ,可 以 看 到 系统 预定 义 的 Notity 通知 动作 仅 使 能 了 
输出 到 本 地 数据 库 属性 。 


AE da SRR 
= £ Emain — 通知 到 数据 库 。。。 通知 到 sysiog 主 机 。。 所作 
] Eluotiy e 2? 
Nat test a x 
BAR 
Oe | 有 
ai Noty (83 字符 注 : MAENE) 
Notify A 
Hë v 
CEEE 
ET 
Tat 。 口 Emal 通知 
口 jdbalsysioo 主 机 
| 确定 | 
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(5) 检查 安全 策略 配置 

IPSCACG) 产 品 支持 攻击 防范 策略 、 病 毒 防范 策略 .带宽 管理 等 多 种 安全 策略 ,通过 将 策 
略 应 用 在 段 上 以 实现 IPSCACG) 的 各 种 安全 特性 。 除 了 在 前 述 几 个 步骤 中 的 必要 配置 外 ,在 
各 个 安全 策略 中 ,关于 日 志 输 出 部 分 可 能 有 部 分 额外 配置 点 需要 检查 ; 否则 , 仅 需 在 段 策略 上 
配置 规则 并 引用 包含 通知 动作 的 动作 集 即 可 。 各 安全 策略 具体 配置 方法 可 查阅 产品 用 户 手册 
和 Web 配置 指导 手册 。 特 别 需 注意 : 当 安全 策略 应 用 至 段 后 ,必须 通过 单 击 * 激 活 ” 按 钮 并 返 
回 操 作成 功 提示 后 才 会 真正 生效 。 

例如 : 当 网 络 管理 员 部 署 IPS 攻击 防范 策略 且 需 将 产生 的 日 志 发 送 到 远程 日 志 主 机 时 ， 
应 在 设备 Web 管理 页 面 *IPS 习 高 级 配置 "中 选中 “输出 到 Syslog 主机 ” 复 选 框 ,如 图 6-236 
所 示 。 

然后 在 设备 Web 管理 页 面 *IPS 习 策略 管理 ”中 ,确保 应 用 在 段 上 的 攻击 防范 策略 规则 中 
引用 了 包含 相应 通知 动作 的 动作 集 , 如 图 6-237 所 示 。 
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加 丢弃 HTTP 请 求 [T IA L E 
定向 httpJ/ V Ez: 
m ome tty [| ”|(1-503 字符 ) 
NERE Bsexsa | OO O [051 字符 š: 中 文 占 三 个 字符 ) 
OTRE 
隔离 的 持续 时 间 Omassa [EU 
日 志 配置 Emait 通 知 
获取 基于 HTTP 人 协议 攻击 的 URL 
[| e J 确定 | 
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am | 


We 
Rm ET 0343 98 注 : 中 文 占 三 人 字符 ) 
É (0511 字符 注 : #g6=49R 
Mneme 
atat 图 区 分 保护 对 象 子 类 型 OTEMI s E Map OOOO N 
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图 6-237 新 建 策略 应 用 


例如 : 当 网 络 管理 员 部 署 URL 过 滤 策 略 且 需 将 产生 的 日 志 发 送 到 远程 日 志 主 机 时 ,应 在 
设备 Web 管理 页 面 *URL 过 滤 一 全 局 配置 "中 ,选中 高 级 设置 中 的 “输出 到 Syslog 主机 ” 复 选 
框 ,如 图 6-238 所 示 o 


URLE RE 


团 使 能 自 定义 的 URL 过 源 
下 高 级 设置 
〇 天 弃 HTTP 请 求 
Osea | s|[ = | (-5o3 字符 ) 
HTTP 响 应 加 返回 应 管 页 面 | [Lses | 


The access is forbidden by policy! 


(1-511 字符 È: 中 文 占 三 个 字符 ) 


日 志 设置 口 输出 肥 Syslog 主 机 | 


6-238 URL 过 滤 设 置 


(6) 检查 二 层 回 退 状态 
IPSCACG) 产 品 内 置 的 软件 监测 模块 以 很 高 的 频率 实时 检查 设备 自身 的 健康 状况 。 一 旦 
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该 模块 发 现 检测 引擎 软件 系统 出 现 故 障 或 业务 流量 太 大 超过 了 设备 处 理性 能 以 致 大 量 丢 包 
时 ,会 立即 将 设备 设置 成 一 个 简单 的 二 层 交换 模式 。 此 时 ,设备 对 端口 接收 的 所 有 流量 不 青 执 
行 任何 检测 ,而 是 直接 将 内 外 部 域 贯通 ,保证 网 络 业务 的 连续 性 ,该 功能 简称 为 “二 层 回 退 ”。 
当 设备 进入 "二 层 回 退 ?状态 后 ,所 有 软件 功能 不 再 生效 ,也 不 再 产生 任何 数据 日 志 信息 ,因此 
需要 检查 当前 设备 是 否 已 经 人 为 操作 或 自动 开启 了 “二 层 回 退 ”。 

例如 : 可 在 设备 Web 管理 页 面 “系统 管理 一 高 可 靠 性 一 二 层 回 退 ” 中 ,查看 设备 当前 二 层 
回 退 状态 为 绿色 时 ,表示 工作 正常 ; 若 状态 灯 为 红色 , 则 说 明 此 时 设备 已 经 进入 二 层 回 退 状 
态 , 如 图 6-239 所 示 。 


二 层 回 退 

warmi 
当前 组 网 模式 Et 

HA ERMRERERE 50 % (1-100, 默认 50%) 

进入 二 层 回 退 时 对 数据 也 进行 @ 允许 OR 

退出 二 层 回 退 方 式 图 自动 OFih 

二 层 回 退 状 态 持续 时 间 5 分 钟 《2-30， 默认 5 分 钟 》 


图 6-239 ”二 层 回 退 状态 


(7) 验证 日 志 输 出 

在 IPSCACG) 产 品 配置 界面 中 完成 所 有 与 日 志 输 出 相关 的 配置 检查 后 ,对 于 系统 日 志 、 操 
作 日 志 、 通 知 到 数据 库 的 数据 日 志 信息 ,可 直接 在 Web 管理 界面 的 日 志 管 理 中 分 类 查询 ; 对 
于 通知 到 Syslog 主机 的 数据 日 志 信息 ,可 在 远程 日 志 服 务 器 (如 H3C SecCenter) 上 查询 。 

当 查 询 不 成 功 , 无 法 找到 相应 的 日 志 时 ,注意 检查 设备 本 地 存储 空间 是 否 已 满 ,日 志 主 机 
数据 库 系统 的 安装 磁盘 是 否 还 有 剩余 空间 ,数据库 自身 状态 是 否 正常 .设备 日 志 发 送 端口 与 服 
务 器 接收 端口 是 否 一 致 ,等 等 。 

IPSCACG) 产 品 将 日 志 发 送 至 Syslog 日 志 主 机 需 经 过 中 间 设 备 , 因 此 还 要 检查 IPS 
(ACG) 管 理 端口 与 服务 器 端口 之 间 是 否 IP 可 达 , 管 理 报 文 及 日 志 报 文 是 否 正常 转发 未 被 其 
他 设备 错误 丢弃 。 可 在 IPSCACG) 设 备 上 将 PC 机 IP 地 址 设置 为 Syslog 主机 地 址 ,然后 在 
PC 机 上 利用 抓 包 软件 来 判断 设备 是 否 可 以 正常 发 送 日 志 报 文 。 


i SD 6.3.11 IPS(ACG) 上 网 慢 故 障 排查 ”区 
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* 


检查 设备 
LEKA 


拨打 热线 
400-310-0504 
ESES 


686 根 叔 的 云图 一 一 网 络 故障 大 排查 


06 安全 产品 5 6.3.11 IPSCACG) 上 网 慢 故 障 排查 步骤 详解 


1. 开始 

IPS(ACG) 使 用 我 司 的 i-Ware 平 台 ,主要 配置 基于 Web, 检 测 对 象 为 4~7 层 业 务 ,出 现 
问题 多 样 化 ,排查 思路 也 不 同 。 

IPS(ACG) 上 网 慢 问 题 定位 故障 的 思路 是 : 通过 二 层 回 退 来 判断 上 网 变 慢 是 否 是 IPS 
(ACG) 造 成 的 。 如 果 不 是 则 排查 其 他 设备 ,如 果 是 则 通过 在 设备 上 收集 信息 来 一 步 步 排 查 具 
体 的 原因 。 

2. 流程 图 相关 操作 说 明 

(1) 开启 二 层 回 退 

设备 内 置 的 监测 模块 以 很 高 的 频率 定时 地 监测 自身 的 健康 状况 ,一 旦 探测 到 检测 引擎 、 软 
件 系统 故障 或 者 流量 过 大 时 ,该 模块 会 将 设备 设置 成 一 个 简单 的 二 层 交换 设备 。 此 时 ,设备 对 
所 有 网 络 流 量 都 不 进行 检测 ,网 络 流量 将 在 两 个 接口 之 间 直 接 贯通 ,从 而 保持 网 络 业务 的 连续 
性 。 这 个 功能 称 为 “二 层 回 退 ”。 

设备 还 支持 用 户 手 动 设置 设备 进入 /退出 二 层 回 退 状 态 。 

举例 : 在 导航 栏 中 单 击 “ 系 统管 理 一 高 可 靠 性 一 二 层 回 退 ”, 进 入 二 层 回 退 的 配置 页 面 ,如 
图 6-240 所 示 。 


图 6-240 二 层 回 退 配置 


(2) 查看 上 网 情况 

手动 开启 “二 层 回 退 " 之 后 ,再 通过 设备 上 网 测试 开启 二 层 回 退 前 后 上 网 快慢 是 否 有 明显 
变化 。 

当 运 行 正常 的 网 络 突然 出 现 问题 时 ,要 排除 是 否 是 IPSCACG) 引 起 ,最 简单 有 效 的 方法 就 
是 将 IPSCACG) 二 层 回 退 。 如 果 二 层 回 退 之 后 问题 仍然 存在 ,请 排查 其 他 设备 ; 如 果 问 题 不 
存在 了 ,说 明 问题 出 在 IPSCACG) 上 ,再 具体 问题 具体 分 析 。 

(3) 检查 其 他 设备 问题 

如 果 “ 二 层 回 退 ”开启 后 问题 不 存在 , 则 很 大 可 能 性 是 其 他 设备 的 问题 。 浏 览 网 页 慢 可 以 
通过 “HTTP WATCH” 等 软件 来 抓 取 交 互 过 程 ,分 析 哪 一 步 延 迟 较 大 。 如 果 是 其 他 应 用 程序 
感觉 网 络 传输 较 慢 , 可 以 通过 在 终端 侧 抓 包 来 判断 是 否 有 丢 包 或 者 重 传 。 

如 果 未 发 现 其 他 设备 问题 ,为 了 最 终 确认 是 不 是 IPS(ACG) 问 题 ,可 以 收集 设备 诊断 、 系 
统 日 志 , 操 作 日 志 , 设 备 系统 状态 截图 ,系统 信息 截图 反馈 给 400 进一步 分 析 。 

(4) 查看 功能 配置 

造成 上 网 慢 或 者 异常 的 功能 有 以 下 几 种 : 带宽 管理 功能 .QoS 通道 限 速 功 能 `.URL 过 滤 
功能 、 防 攻击 / 防 病毒 功能 。 
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为 了 判断 是 否 是 功能 配置 问题 ,可 以 依次 关闭 某 个 功能 策略 ,判断 哪 一 个 策略 能 解决 问 
题 。 如 果 没 有 解决 , 则 排除 配置 问题 。 

举例 : 关闭 “通道 带宽 管理 ?功能 .发现 上 网 慢 问题 解决 , 则 可 判断 是 此 功能 引起 的 问题 。 

(5) 检查 对 应 功能 配置 

确定 某 个 功能 导致 上 网 慢 后 ,可 以 根据 功能 配置 指导 和 注意 事项 来 排查 ,下 面 简 单 介绍 这 
些 功 能 有 可 能 造成 上 网 慢 的 原因 。 

D 带宽 管理 [IPS(ACG)]。 网 络 流量 按照 其 用 途 的 不 同 划分 成 不 同 的 服务 类 型 ,例如 
E-mail 服务 .VoIP 服务 等 ,对 不 同 的 服务 类 型 实施 不 同 的 管理 控制 行为 , 称 为 带宽 管理 。 

带宽 管理 通过 对 各 种 应 用 进行 灵活 的 带宽 控制 ,限制 非 关 键 应 用 ,并 保证 了 客户 网 络 上 关 
键 应 用 的 带宽 。 

容易 造成 “上 网 慢 ? 的 原因 可 能 是 做 了 限 速 或 者 阻 断 , 还 有 一 种 原因 是 误 识别 。 

若 在 带宽 管理 策略 中 发 现 做 了 限 速 或 者 阻 断 , 可 根据 客户 要 求 调 整 速率 上 限 或 者 完全 放 
通 ; 若 在 策略 中 未 发 现 问题 应 用 对 应 的 限 速 或 者 阻 断 , 则 可 以 通过 日 志 来 判断 是 否 存在 误 识 
别 ,比如 看 视频 慢 时 是 否 每 次 都 看 到 日 志 记 录 限 速 或 阻 断 了 P2P 下 载 ,这 样 的 话 可 能 设备 将 
视频 应 用 误 识别 为 P2P 应 用 了 。 此 种 情况 可 以 在 客户 端 抓 包 , 收 集 设备 版 本 信息 和 特征 库 版 
本 信息 给 400 进行 分 析 , 必 要 时 更 新 特征 库 。 

举例 : 图 6-241 为 带宽 管理 配置 界面 (“带宽 管理 一 策略 管理 ”) ,需要 注意 应 用 控制 对 应 
的 动作 集 。 
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6-241 带宽 管理 配置 


@ 通道 带宽 管理 (ACG)。 通 道 带宽 管理 技术 根据 不 同 的 段 、. 用 户 、 应 用 或 业务 分 层次 的 
划分 出 多 条 不 同 的 通道 ,对 这 些 通 道 分 别 进行 带宽 控制 以 及 各 种 精细 化 地 动作 管理 。 
通道 带宽 管理 也 会 存在 误 识别 的 情况 ,如 果 针 对 某 个 应 用 发 现 有 误 识别 同样 需要 反馈 客 
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户 端 抓 包 ,收集 设备 版 本 信息 和 特征 库 版 本 信息 给 总 部 进行 分 析 。 对 于 限 速 行为 导致 的 上 网 
慢 , 可 以 调整 策略 配置 。 

例如 : 在 “通道 带宽 管理 ”>“ 通 道 策略 ”里 可 以 看 到 配置 的 策略 ,注意 服务 类 型 和 通道 带 
宽 设 置 ,如 图 6-242 所 示 。 
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6-242 通道 策略 配置 


@ URL 过 滤 [IPS(ACG)]。URL 过 滤 是 一 种 网 页 过 滤 功 能 ,支持 自 定义 URL 过 滤 。 

对 于 某 类 网 站 打 不 开 的 情形 ,可 以 查看 设备 是 否 配置 了 URL 阻 断 ,命中 了 URL 策略 。 

例如 : 图 6-243 为 URL 过 滤 规则 配置 界面 ,需要 检查 阻 断 时 间 ,是 否 在 问题 时 间 段 内 上 
网 被 阻 断 。 


@ http://10.153.42.87/i_ware/display/msp/p_url_ft/define_rule_create 


新 建 自 定义 URL 规 则 


(131 字符 注 : 中 文 占 三 个 字符 ) 
@ 固定 字符 串 〇 正则 表达 式 。 孝 助 

(5-255 字符 k: 中 文 占 三 个 字符 ) 
图 固定 字符 串 〇 正则 表达 式 
(5-255 字符 k: 中 文 占 三 个 字符 ) 


所 有 时 间 v 
记录 日 志 时 间 [MF v 


6-243 URL 过 滤 规 则 配置 


@ IPS/ 防 病毒 (IPS)。 如 果 访 问 的 网 站 或 者 应 用 含有 攻击 流量 或 者 病毒 ,在 开启 IPS/ 防 
病毒 的 情况 下 也 会 对 其 进行 阻 断 , 用 户 不 知情 会 认为 上 网 出 现 异常 。 不 排除 IPS/ 防 病毒 检测 
存在 误 识 别 的 情况 ,此 时 需要 查看 日 志 信息 ,判断 用 户 上 网 行为 被 误 判 成 何 种 攻击 或 者 病毒 ， 
反馈 客户 端 抓 包 .设备 版 本 和 特征 库 版 本 。 

例如 : 在 日志 管 理 一 攻击 日 志 一 最 近日 志 ” 中 可 以 查看 到 设备 攻击 日 志 , 可 以 用 来 判断 
访问 的 目的 IP 是否 被 IPS 阻 断 , 如 图 6-244 所 示 。 
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6-244 设备 攻击 日 志 


(6) 查看 CPU 

通过 查看 IPSCACG) 数 据 面 CPU 高 低 可 以 知道 问题 原因 是 否 和 CPU 过 高 所 致 。 

如 果 发 现 多 数 CPU 核 统 计 值 接近 100% , 则 怀疑 网 络 流量 达到 设备 性 能 。 

还 有 一 种 情形 则 是 一 个 或 者 几 个 CPU 比较 高 ,这 种 情况 可 能 是 由 于 分 流 不 均 或 者 单个 
IP 地 址 流量 过 大 导致 。 

O 分 流 不 均 。 检 查 设备 部 署 位 置 ,是 否 在 NAT 设备 之 后 ,或 者 处 于 隧道 中 间 , 经 过 IPS 
(ACG) 的 流量 如 果 经 过 了 NAT 转换 或 携带 隧道 信息 ,会 因为 源 IP 地 址 过 少 , 导 致 分 流 不 均 ， 
单个 CPU 利用 率 过 高 ,继而 丢 包 。 有 时 候 内 外 部 域 接 反 了 ,外 网 IP 相对 较 少 时 ,也 会 出 现 分 
流 不 均 的 情况 。 

确认 分 流 不 均 后 ,可 以 根据 实际 情况 调整 设备 部 署 位 置 , 或 者 重新 连 线 。 

© 单个 IP 地 址 流量 过 大 。 一 般 情况 下 ,需要 结合 流量 报表 进行 确认 。 在 流量 报表 上 查 
看 流量 最 大 的 IP 地 址 、 该 IP 地 址 对 应 的 流量 类 型 ,有 可 能 是 大 量 P2P 下 载 ,有 可 能 是 被 攻击 
或 者 中 病毒 后 对 外 发 起 攻击 或 其 他 可 能 的 情况 。 

确定 IP 地 址 后 ,可 以 将 该 IP 地 址 暂时 封杀 ,如 加 入 黑 名 单 或 对 该 IP 限 速 。 人 恢复 网 络 后 
青 针 对 具体 IP 分 析 。 

命令 : shell 视图 下 (shell 视图 进入 方式 可 拨打 400 热线 咨询 ) 

CH3C-hidden-expend ]cat /proc/iware_os/cpu_sec 

例如 : 如 下 所 示 少 量 CPU 核 达到 100% ,可 判断 存在 分 流 不 均 或 者 单个 IP 地 址 流量 过 大 
的 可 能 性 。 


[H3C-hidden-expend]cat /proc/iware_os/cpu_sec 
3 
100 
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(7) 检查 链 路 使 用 带宽 

前 面 查看 了 数据 面 CPU 情况 ,如 果 多 数 CPU 核 数值 较 高 ,甚至 接近 100%, 可 以 怀疑 是 
设备 性 能 原因 。 

为 了 确定 此 种 情况 ,需要 查看 链 路 带宽 占用 情况 。 如 果 占 用 较 多 ,甚至 接近 接口 承载 带 
宽 , 则 说 明 流量 确实 达到 设备 性 能 , 想 要 解决 ,需要 更 换 升 级 设备 。 

例如 : 在 导航 栏 中 单 击 “ 系 统管 理 ”>“ 网 络 管理 ”>“ 接 口 流 量 ”, 进 入 如 图 6-245 所 示 的 
页 面 ,可 以 查看 设备 上 各 接口 的 流量 信息 。 


BREZ ERER 。 发 送 流量 
(kbps) — (kbps) (FP) (FP) R = 
9728899 — 7620407 124213 — 959( 


0 
0 
0 
0 


6-245 ”接口 流量 


如 果 出 现 数据 面 CPU WE 100% ,网络 流 量 占用 带宽 接近 接口 满 值 , 则 认为 转发 量 达 到 设 
备 性 能 。 

如 果 出 现 数据 面 CPU ir 100% ,但 是 网 络 流量 并 不 大 的 情况 ,一 种 很 大 的 可 能 性 就 是 特 
征 库 中 某 条 特征 被 频繁 命中 ,导致 性 能 急剧 下 降 。 确 认 是 否 频繁 命中 特征 ,可 在 系统 视图 下 ， 
使 用 display dip 命令 查看 特征 命中 情况 。 

命令 : [H3C ]display dip 

[LH3C Jdip clean 

例如 : 判断 是 否 是 特征 库 中 某 条 特征 被 频繁 命中 ,请 先 将 dip 信息 清除 ,系统 视图 下 输入 
dip clean, 

MA: [H3C]dip clean 

然后 再 多 次 查看 display dip 的 信息 。 


[H3C]display dip 
Signature AC Hit lst Try More Try PCRE Hit Rule Hit Expire 


67112926 3202 0 0 0 0 0 
151002748 10951 10951 0 0 0 0 
151002956 5055 5055 0 0 0 


当 出 现 某 条 特征 对 应 的 AC HIT 统计 特别 大 ,并 且 变 化 非常 快 时 ,说 明 该 条 特征 被 频繁 
命中 。 如 例子 中 所 示 ,151 开头 的 特征 是 IPS 攻击 规则 对 应 的 ID 号 ,可 以 直接 根据 该 ID 号 在 
Web 上 查询 是 哪 条 规则 被 频繁 命中 ,查询 完成 后 ,可 直接 禁止 该 规则 。 

而 以 6 开头 的 特征 一 般 是 服务 特征 ,具体 对 应 哪 种 服务 类 型 需要 查 数 据 库 ,建议 将 
display dip 信息 收集 回来 处 理 。 

特征 被 频繁 命中 ,一 般 是 因为 特征 定义 不 够 严格 ,或 者 网 络 中 本 身 存在 大 量 匹 配 我 司 特征 
库 的 流量 。 出 现 这 种 情况 时 ,请 提供 display dip 完整 收集 信息 ,并 对 网 络 流量 进行 抓 包 ,反馈 
处 理 。 后 继 可 通过 升级 特征 库 解决 。 

需要 注意 的 是 ,dip 相关 命令 不 可 见 , 且 不 支持 联想 及 个 键 查询 ,需要 每 次 手工 输入 。 
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(8) 检查 设备 丢 包 情况 
设备 如 果 发 生硬 件 丢 包 , 可 以 通过 如 下 命令 查看 。 
命令 : shell 视图 下 (shell 视图 进入 方式 可 拨打 400 热线 咨询 ) 
[H3C-hidden-ez pend Jiftable_display 
[H3C-hidden-ez pend ]dmesg -c 
例如 : 在 shell 视图 下 ,执行 iftable display 命令 ,再 用 dmesg -c 命令 查看 统计 ,需要 多 执 
行 几 次 。 中 间 可 用 命令 iftable_display clear 先 清除 统计 信息 ,再 重新 查看 。 


[H3C-hidden-expend]iftable_display 
[H3C-hidden-expend]dmesg -c 


display interface information: 


ifindex, recv_error, queue_drop， to_iware, send_fail 
4, 0: 0, 0, 1548672, 

dpvirt : trunkid_p[2bd17000], trunkinfo_p[2bd19000] 

phys : trunkid_p[3bd17000], trunkinfo_p[3bd19000] 


NA buffer information: 
XLR_IO_DEV_GMAC_ARxDescInMAC 2000 FifoCount 2000 
XLR_IO_DEV_XGMAC_ARxDescInMAC 30720 FifoCount 30720 


参数 display interface information 中 ,queue_drop,recv_errorysend_fail 存在 统计 ,并 不 断 
增长 ,因此 认为 设备 有 丢 包 。 除 了 反馈 上 一 步 信息 外 ,请 收集 设备 诊断 信息 、 系 统 日 志 、 操 作 日 
志 、 设 备 状 态 信息 和 接口 信息 。 
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Z res. CPU 利用 率 高 步骤 详解 


1. 开始 


CPU 超 负 荷 运行 时 会 造成 很 多 问题 ,此 时 设备 会 出 现 丢 包 现象 ,从 而 导致 正常 业务 受到 


很 大 的 影响 。 
定位 故障 的 思路 如 下 。 
O 判断 当前 CPU 是 否 正常 。 
© 判断 近期 操作 是 否 影响 到 CPU 。 


@ 判断 具体 是 哪个 进程 长 时 间 占 用 CPU. 


2. 流程 图 相关 操作 说 明 
(1) 查看 当前 设备 CPU 状态 


查看 当前 设备 CPU 信息 是 否 正常 ,以 便 明 确 下 一 步 操作 。 


命令 : display cpu-usage 


例如 : 通过 命令 查看 ,可 以 确认 当前 CPU 是 否 处 于 正常 状态 (长 期 高 于 70% 表 示 异 常 )。 


<AC> display cpu-usage 
Unit CPU usage: 
70% in last 5 seconds 
71% in last 1 minute 
75% in last 5 minutes 


(2) 查看 各 进程 占用 CPU 情况 
命令 : 进入 隐藏 模式 。 
display cpu-usage task 


reset task-runtime-max 


display task 
例如 : 通过 命令 查看 ,可 以 确认 具体 是 哪些 进程 大 量 占用 CPU, & 7-1 列 出 了 常见 CPU 
进程 具体 含义 。 
表 7-1 常见 CPU 进程 具体 含义 
进程 名 称 具体 含义 常见 问题 触发 原因 
VIDL 空闲 状态 表示 当前 CPU 处 于 空闲 状态 的 百分比 
INFO 信息 中 心 模块 开启 过 多 的 debugging 信息 等 原因 触发 
ARP ARP 相关 模块 开启 arp snooping 等 原因 触发 
IP IP 协议 栈 相关 模块 环 路 等 原因 触发 
DHCP DHCP 相关 模块 DHCP 攻击 、 开 启 DHCP snooping 等 原因 触发 
TRAP Trap 相关 模块 大 量 告警 信息 触发 
DTIX 802. 1x 相关 模块 大 量 1x 用 户 上 下 线 触发 
SC AAA 相关 模块 大 量 用 户 认 证 触发 
WMAC 无 线 终端 相关 模块 大 量 终端 上 下 线 触 发 
WIDS 无 线 ids 防护 相关 模块 攻击 触发 
WRRM wlan rrm 相关 模块 负载 均衡 设置 不 合理 等 原因 触发 
LWPS lwapp 隧道 相关 模块 大 量 AP 上 下 线 触发 
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[AC-hidecmd] display cpu-usage task 
Re Current CPU usage info ---------- 
CPU Usage Stat. Cycle : 27 (Second) 


CPU Usage 


CPU Usage Stat. Tick 
Actual Stat. Cycle 


TaskName CPU 
LPDT 0% 
VIDL 94% 
TICK 0% 
STMR 0% 
IPCT 0% 
DrTC 0% 
MCIN 0% 
IPCB 0% 
RPCQ 0% 
ADJ6 0% 
IPCM 0% 
INFO 0% 
DEV 0% 
SOCK 0% 
ADJ4 0% 
ACL 0% 
LAGG 0% 
MSTP 0% 
PTMT 0% 
ARP 0% 
TE 0% 
FSLH 0% 
FSLR 0% 
NTPT 0% 
VTYD 0% 
DHCP 0% 
DHSE 0% 
ND 0% 
DT1X 0% 
ACM 0% 
LS 0% 
RDSO 0% 
IKE 0% 
MACA 0% 
WAPI 0% 
PSEC 0% 
STND 0% 
ROUT 0% 
WMAC 0% 
WIDS 0% 


WRRM 0% 


: 6% 
CPU Usage Stat. Time : 
: 0xc55(CPU Tick High) 0x3fbef3eb(CPU Tick Low) 
: 0x0(CPU Tick High) 0x6e987c97(CPU Tick Low) 


2013-05-03 19:52:01 


Runtime(CPU Tick High/CPU Tick Low) 


0/ 362 
0/ 68e796d7 
0/ 6d6aa9 
0/ 3ffb8f 
0/ 2a8855 
0/ 43b71b 
0/ 6211 
0/ 94150 
0/ 2563c5 
0/ 4ccf 
0/ 8d7f 
0/ 15c59 
0/ 124b68 
0/ 153ce 
0/ ff9b 
0/ lbd4f 
0/ c69b 
0/ d362 
0/ ac70 
0/ 15294c 
0/ 2a60ba 
0/ 6f2e 
0/ 4e717 
0/ bofl 
0/ 8ed07 
0/ 67a5c 
0/ d48f 
0/ 75b52 
0/ 305eff 
0/ e0c6c 
of 4e40f 
0/ 2266c 
0/  1b3da7 
0/ 1c8a76 
0/ 40f9f 
0/ d81f 
0/ 1cb0f 
0/ 459b43 
0/ a3816 
0/ 45890 
0/ 4e156 
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LWPS 0% 0/ 744fe 
IACT 0% 0/ 8fc3 
IFNT 0% of b75f 

vt0 2% 0/ 2dfdd5d 
U2fT 0% 0/ 283c50 


[AC-hidecmd] reset task-runtime-max 
[AC-hidecmd] display task 
name Tid Vid TSize Mod priority Status Total/ Max/ Last 
LPDT 82bfbc00 J! 100 sleep 87/ o/ 0 
VMON 83828000 2 100 eventblock o~ 0o/ 0 
VIDL 82bfba00 3 1 preemptready 197345147/ 9/ 4 
TICK 82bfb800 4 250 preemptready 760264/ 0/ 0 
STMR 82bfb600 5 40 150 eventblock 438369/ 2/ 2 
IPCT 82bfb200 6 100 eventblock 298464/ 0/ 0 
DrTC 82bfb000 7 100 eventblock 464914/ 2K 2 
DrTF 82c09e00 8 100 eventblock o 0/ 0 
MCIN 82c09200 9 100 preemptready 2427/ 0/ 0 
IPCB 82cl0e00 10 40 140 eventblock 63969/ 0/ 0 
IPCD 82cl0c00 11 40 100 eventblock o 0/ 0 
140 eventblock 261816/ 0/ 0 
140 eventblock 0/ 0/ 0 
140 eventblock 53/ 0/ 0 
100 eventblock 1/ 0/ 0 
100 eventblock 67/ 0/ 0 
100 eventblock 2120/ 0/ 0 
100 eventblock 1/ 0/ 0 
100 eventblock 3816/ 0/ 0 


RPCQ 82cl0a00 12 40 
RPCD 82c10800 13 40 
VP 82c10600 14 40 
PAT 82c10400 15 40 
MACF 82cl0200 16 40 
ADJ6 82c10000 17 40 
MGRP 82cl2e00 18 40 
IPCM 82cl2c00 19 40 


2 
== 
° 
e 


CFM 82cl2a00 20 40 queblock 4344/ 0/ 14 
INFO 82cl2800 21 40 100 normalready 3680/ 0/ 0 
LGFT 82cl2600 22 40 100 eventblock 119/ o/ 0 
LOAD 82cl2400 23 40 100 eventblock o 0 0 
DEV 82cl2200 24 40 140 eventblock 129714/ 2/ 0 
WORK 82cl2000 25 40 100 eventblock 0/ 0/ 0 
SOCK 82cl3e00 26 40 100 eventblock 8617/ 0/ 0 
ADJ4 82cl3c00 27 40 100 eventblock 7795/ o/ 0 
ACL 82cl3a00 28 40 100 eventblock 12244/ 0/ 0 
VLAN 82c13800 29 40 100 eventblock 6/ 0 0 
mac 82c13600 30 40 100 eventblock 0/ 0/ 0 
LAGG 82c13400 31 40 140 eventblock 5453/ 0/ 0 
MSTP 82c13200 32 40 100 eventblock 5693/ 0/ 0 
PTMT 82c13000 33 40 100 eventblock 4733/ 0/ 0 
PTTP 82cl4e00 34 40 100 eventblock 0 0 0 
qos 82cl4c00 35 40 100 eventblock 13/ 0/ 0 
ARP 82cl4a00 36 40 100 eventblock 88993/ 0/ 0 
IP 82cl4800 37 40 100 eventblock 301502/ 0/ 0 
NQA 82cl4600 38 40 100 eventblock OA 0 
FSLH 82cl4400 39 40 100 eventblock 3031/ 0/ 0 
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FSLR 82c14200 40 40 N 100 
HTTP 82c14000 41 20 N 100 
WEBS 82cl5e00 42 40 N 100 
NTPT 82cl5c00 43 40 N 100 
VTYD 82cl5a00 44 40 N 100 
DHCC 82c15800 45 40 N 100 
DHCP 82c15600 46 40 N 100 
DHSE 82c15400 47 40 N 100 
VRRP 82c15200 48 40 N 100 
DHC6 82c15000 49 40 N 100 
DHP6 82cl6e00 50 40 N 100 

DSP6 82cl6c00 51 40 N 100 

FIB6 82cl6a00 52 40 N 100 
FIB 82c16800 53 40 N 100 
ND 82c16600 54 40 N 100 

AGNT 82c16400 55 40 N 100 
TRAP 82cl6200 56 40 N 100 
DTIX 82c16000 57 40 N 100 

ACM 82cl7e00 58 40 N 100 

LS 82cl7c00 59 40 N 100 

RDSO 82cl7a00 60 40 N 100 

RDS 82c17800 61 40 N 100 

SC 82c17600 62 40 N 100 

TAC 82c17400 63 40 N 100 

IKE 82c17200 64 40 N 100 
MACA 82c17000 65 40 N 100 

NAT 82d5ce00 66 40 N 100 

PKI 82d5cc00 67 40 N 100 
PKEY 82d5ca00 68 40 N 100 

WAPI 82d5c800 69 40 N 100 

PSEC 82d5c600 70 40 N 100 
ALDP 82d5c400 71 40 N 100 

IGSP 82d5c200 72 40 N 100 

STND 82d5c000 73 4 N 100 

ROUT 82d5de00 74 40 N 100 
WMAC 82d5dc00 75 40 N 100 
WIDS 82d5da00 76 40 N 100 
WRRM 82d5d800 77 40 N 100 
CWBS 82d5d600 78 40 N 100 

LWPS 82d5d400 79 40 N 100 

IACT 82d5d200 80 40 N 100 

IFNT 82d5d000 81 40 N 100 

vt0 82d5ea00 82 80 N 100 

U2fT 82d5ec00 83 40 N 140 


eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
sleep 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
running 
eventblock 


33849/ 
0/ 

0/ 
4593/ 
39391/ 
0/ 
45103/ 
3409/ 
0/ 

0/ 

0/ 

0/ 

1 

1 
51868/ 
1 

377/ 
336766/ 
98597/ 
33116/ 
16971/ 
307/ 
0/ 

0/ 
196787/ 
202843/ 
0/ 

7 

0/ 
28592/ 
5853/ 
0/ 

42/ 
12545/ 
487624/ 
68487/ 
30607/ 
34465/ 
7/ 
34705/ 
4022/ 
5115/ 
4519/ 
284053/ 


0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
WW 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
1/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
of 
0/ 
0/ 
0/ 
0/ 
0/ 
10/ 
0/ 
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(3) 了 解 当前 网 络 是 否 存在 重大 操作 
例如 : 

O AP 升 级 操作 。 

© 设备 新 上 网 管 软件 。 

@ 整 网 重大 变动 。 
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@ 在 网 设备 掉 电 、 重 启 、 异 常 均 可 能 影响 到 无 线 在 网 设备 。 

© 在 线 的 一 些 实时 操作 ,包括 AP 手动 重启 、 开 关 服 务 模板 等 。 

(4) 反馈 具体 操作 收集 信息 

O 将 了 解 到 的 现场 操作 与 可 以 收集 到 的 历史 信息 结合 到 一 起 分 析 , 有 助 于 判断 问题 。 
例如 : 

(a) AP 升级 操作 。 

(b) 设备 新 上 网 管 软件 。 

(c) 整 网 重大 变动 。 

(d) 在 网 设备 掉 电 、 重 启 、 异 常 均 可 能 影响 到 无 线 在 网 设备 。 

(e) 在 线 的 一 些 实时 操作 ,包括 AP 手动 重启 .开关 服务 模板 等 。 

@ 由 于 当前 设备 恢复 正常 ,因此 只 能 及 时 收集 现 有 的 历史 信息 供 分 析 。 

命令 : <AC>display cpu-usage history 


<AC>display diagnostic-in formation 
进入 隐藏 模式 。 
display cpu-usage task 
reset task-runtime-max 
display task 
例如 : 通过 命令 查看 ,可 以 确认 近 一 个 小 时 的 CPU 利用 率 具体 情况 。 


<AC> display cpu-usage history 
100% 
95% 
90% 
85% 
80% 
175% 
10% 
65% 
60% 
55% 
50% 
45% 
40% 
35% 
30% 
25% 
20% 
15% 
10% 
5 和 | PERHE # HAHAHAH HHRHRHRHRHHHHHHHHHHHHHH 
10 20 30 40 50 60(min) 
cpu-usage last 60 minutes(SYSTEM) 
< AC>4isplay diagnostic-information 


Save or display diagnostic information (Y=save, N= display)? [Y/N]: 
[AC-hidecmd]display cpu-usage task 
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A Current CPU usage info ---------- 

CPU Usage Stat. Cycle: 27 (Second) 

CPU Usage :6% 

CPU Usage Stat. Time : 2013-05-03 19:52:01 

CPU Usage Stat. Tick : 0xc55(CPU Tick High) 0x3fbef3eb(CPU Tick Low) 


Actual Stat. Cycle : 0x0(CPU Tick High) 0x6e987c97 (CPU Tick Low) 
TaskName CPU Runtime(CPU Tick High/CPU Tick Low) 

LPDT 0% of 362 
VIDL 94% 0/ 68e796d7 
TICK 0% 0/ 6d6aa9 
STMR 0% 0/ 3ffb8f 
IPCT 0% 0/ 2a8855 
DrTC 0% 0/ 43b71b 
MCIN 0% 0/ 6211 
IPCB 0% 0/ 94150 
RPCQ 0% 0/ 2563c5 
ADJ6 0% 0/ 4ccf 
IPCM 0% 0/ 8d7f 
INFO 0% 0/ 15c59 
DEV 0% 0/ 12db68 
SOCK 0% 0/ 153ce 
ADJ4 0% 0/ ff9b 
ACL 0% 0/ lbd4f 
LAGG 0% 0/ c69b 
MSTP 0% 0/ d362 
PTMT 0% 0/ ac70 
ARP 0% 0/ 15294c 
中 0% 0/ 2a60ba 
FSLH 0% 0/ 6f2e 
FSLR 0% 0/ 4e717 
NTPT 0% 0/ bofl 
YTYD 0% 0/ 8ed07 
DHCP 0% 0/ 67a5c 
DHSE 0% 0/ d48f 
ND 0% 0/ 75b52 
DT1X 0% 0/ 305eff 
ACM 0% 0/ e0c6c 
LS 0% 0/ 4e40f 
RDSO 0% 0/ 2266c 
IKE 0% 0/ 1b3da7 
MACA 0% 0/ 1c8a76 
WAPI 0% 0/ 40f9f 
PSEC 0% of d81f 
STND 0% 0/ 1cb0f 
ROUT 0% 0/ 459b43 
WMAC 0% 0/ a3816 
WIDS 0% of 45890 
WRRM 0% 0/ 4e156 
LWPS 0% 0/ 744fe 
IACT 0% 0/ 8fc3 
IFNT 0% 0/ b75f 
vt0 2% 0/ 2dfdd5d 


U2fT 0% 0/ 283c50 
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[AC-hidecmd] reset task-runtime-max 
[AC-hidecmd] display task 
name Tid Vid TSize Mod priority Status Total/Max/Last 
LPDT 82bfbc00 1 100 sleep 87/ 0 0 
VMON 83828000 2 100 eventblock 0 of 0 
VIDL 82bfba00 3 1 preemptready 197345147/ 9/ 4 
TICK 82bfb800 4 250 preemptready 760264/ 0/ 0 
STMR 82bfb600 5 40 150 eventblock 438369/ 2/ 2 
IPCT 82bfb200 6 100 eventblock 298464/ 0/ 0 
DrTC 82bfb000 7 100 eventblock 464914/ 2/ 2 
DrTF 82c09e00 8 100 eventblock o~ o 0 
MCIN 82c09200 9 100 preemptready 2427/ “Of 0 
IPCB 82cl0e00 10 40 140 eventblock 63969/  0/ 0 
IPCD 82cl0c00 11 40 100 eventblock o 0/ 0 
140 eventblock 261816/ 0/ 0 
140 eventblock o œ 0 
140 eventblock 53/ 0/ 0 
100 eventblock 1/ 0/ 0 
100 eventblock 67/ 0/ 0 
100 eventblock 2120/ 0/ 0 
100 eventblock 1/ 0/ 0 
100 eventblock 3816/ 0/ 0 
100 queblock 4344/ 0/ 14 


RPCQ 82cl0a00 12 40 
RPCD 82c10800 13 40 
VP 82c10600 14 40 
PAT 82c10400 15 40 
MACF 82c10200 16 40 
ADJ6 82c10000 17 40 
MGRP 82cl2e00 18 40 
IPCM 82cl2c00 19 40 
CFM 82cl2a00 20 40 
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INFO 82cl2800 21 40 100 normalready 3680/ 0/ 0 
LGFT 82c12600 22 40 100 eventblock 119/ 0/ 0 
LOAD 82c12400 23 40 100 eventblock 0/ 0/ 0 
DEV 82c12200 24 40 140 eventblock 129714/ 2/ 0 
WORK 82c12000 25 40 eventblock 0/ 0/ 0 
SOCK 82cl3e00 26 40 100 eventblock 8617/ 0/ 0 
ADJ4 82cl3c00 27 40 100 eventblock 7795/ 0/ 0 
ACL 82cl3a00 28 40 100 eventblock 12244/ 0/ 0 
VLAN 82c13800 29 40 100 eventblock 6/ 0 0 
mac 82c13600 30 40 100 eventblock 0 ol 0 
LAGG 82cl3400 31 40 140 eventblock 5453/  0/ 0 
MSTP 82c13200 32 40 100 eventblock 5693/ o/ 0 
PTMT 82c13000 33 40 100 eventblock 4733/ 0/ 0 
PTTP 82cl4e00 34 40 100 eventblock 0 0 0 
qos 82cl4c00 35 40 100 eventblock 13/ of 0 
ARP 82cl4a00 36 40 100 eventblock 88993/ 0/ 0 
IP 82cl4800 37 40 100 eventblock 301502/ 0/ 0 
NQA 82c14600 38 40 100 eventblock 0 0 0 
FSLH 82cl4400 39 40 100 eventblock 3031/ of 0 
FSLR 82c14200 40 40 100 eventblock 33849/ 0/ 0 
HTTP 82cl4000 41 20 100 eventblock 0 0/ 0 
WEBS 82cl5e00 42 40 100 eventblock 0 ol 0 
NTPT 82cl5c00 43 40 100 eventblock 4593/ 0/ 0 
VTYD 82cl5a00 44 40 100 eventblock 39391/ 0o/ 0 
DHCC 82cl5800 45 40 100 eventblock QL OL 0 
DHCP 82c15600 46 40 100 eventblock 45103/ 0/ 0 
DHSE 82c15400 47 40 100 eventblock 3409/ 0/ 0 
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PKI 
PKEY 
WAPI 

PSEC 
ALDP 
IGSP 
STND 
ROUT 
WMAC 
WIDS 
WRRM 
CWBS 
LWPS 
IACT 
IFNT 
vt0 
U2fT 


82c15200 
82c15000 
82c16e00 
82c16c00 
82c16a00 
82c16800 
82c16600 
82c16400 
82c16200 
82c16000 
82c17e00 
82c17c00 
82c17a00 
82c17800 
82c17600 
82c17400 
82c17200 
82c17000 
82d5ce00 
82d5cc00 
82d5ca00 
82d5c800 
82d5c600 
82d5c400 
82d5c200 
82d5c000 
82d5de00 
82d5dc00 
82d5da00 
82d5d800 
82d5d600 
82d5d400 
82d5d200 
82d5d000 
82d5ea00 
82d5ec00 


48 
49 
50 
51 
52 
53 
54 
55 
56 
57 
58 
59 
60 
61 
62 
63 
64 
65 
66 
67 
68 
69 
70 
71 
72 
73 
74 
75 
76 
77 
78 
79 
80 
81 
82 
83 
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100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
140 


eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
sleep 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
running 


eventblock 


0/ 

0/ 

0/ 

0/ 

1/ 

1/ 
51868/ 
Y 

3777, 
336766/ 
98597/ 
33116/ 
16971/ 
307/ 

0/ 

0/ 
196787/ 
202843/ 
0/ 

T 

0/ 
28592/ 
5853/ 
0/ 

42/ 
12545/ 
487624/ 
68487/ 
30607/ 
34465/ 
T 
34705/ 
4022/ 
5115/ 
4519/ 
284053/ 


0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
1/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
1/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
10/ 
of 
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(5) 收集 信息 


命令 : <AC display cpu-usage history 


<AC display diagnostic-in formation 
进入 隐藏 模式 。 


display cpu-usage task 


reset task-runtime-max 


display task 


例如 : 通过 命令 查看 ,可 以 确认 近 一 个 小 时 的 CPU 利用 率 具体 情况 。 
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< AC>4isplay cpu-usage history 
100% 
95% 
90% 
85% 
80% 
75% 
70% 
65% 
60% 
55% 
50% 
45% 
40% 
35% 
30% 
25% 


5AIPHHRR # HRRHHHRRHHRRHHEHRHHHRRHHERHHHRHH 
10 20 30 40 50 60(min) 
cpu-usage last 60 minutes( SYSTEM) 
<AC>display diagnostic-information 
Save or display diagnostic information ( Y=save, N= display)? [Y/N]: 


[AC-hidecmd] display cpu-usage task 

T onean Current CPU usage info ---------- 

CPU Usage Stat. Cycle : 27 (Second) 

CPU Usage : 6% 

CPU Usage Stat. Time : 2013-05-03 19:52:01 

CPU Usage Stat. Tick : 0xc55(CPU Tick High) Ox3fbef3eb(CPU Tick Low) 


Actual Stat. Cycle : 0x0(CPU Tick High) 0x6e987c97 (CPU Tick Low) 
TaskName CPU Runtime(CPU Tick High/CPU Tick Low) 
LPDT 0% 0/ 362 

VIDL 94% 0/ 68e796d7 

TICK 0% 0/ 6d6aa9 
STMR 0% 0/ 3ffb8f 

IPCT 0% 0/ 2a8855 

DrTC 0% 0/ 43b71b 

MCIN 0% 0/ 6211 

IPCB 0% 0/ 94150 

RPCQ 0% 0/ 2563c5 

ADJ6 0% 0/ 4ccf 

IPCM 0% 0/ 8d7f 

INFO 0% 0/ 15°59 

DEV 0% 0/ 12db68 


SOCK 0% 0/ 153ce 
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ADJ4 0% 0/ ff9b 
ACL 0% 0/ 1bd4f 
LAGG 0% 0/ c69b 
MSTP 0% 0/ d362 
PTMT 0% 0/ ac70 
ARP 0% 0/ 15294c 
Ip 0% of 2a60ba 
FSLH 0% 0/ 6f2e 
FSLR 0% 0/ 4e717 
NTPT 0% 0/ bofl 
VTYD 0% 0/ 8ed07 
DHCP 0% of 67a5c 
DHSE 0% 0/ d48f 
ND 0% 0/ 75b52 
DT1X 0% 0/ 305eff 
ACM 0% 0/ e0c6c 
LS 0% 0/ 4e40f 
RDSO 0% 0/ 2266c 
IKE 0% 0/  1b3da7 
MACA 0% 0/ 1c8a76 
WAPI 0% 0/ 40f9f 
PSEC 0% 0/ d81f 
STND 0% 0/ lcbof 
ROUT 0% 0/ 459b43 
WMAC 0% 0/ a3816 
WIDS 0% 0/ 45890 
WRRM 0% 0/ 4e156 
LWPS 0% 0/ 744fe 
IACT 0% 0/ 8fc3 
IFNT 0% 0/ b75f 
vt0 2% 0/ 2dfdd5d 
U2fT 0% 0/ 283c50 


[AC-hidecmd] reset task-runtime-max 
[AC-hidecmd] display task 
name Tid Vid TSize Mod priority Status Total/Max/Last 


LPDT 82bfbc00 1 8 N 100 sleep 87/ 0 0 
VMON 83828000 2 40 N 100 eventblock of 0/ 0 
VIDL 82bfba00 3 40 P 1 preemptready 197345147/ 9/ 4 
TICK 82bfb800 4 40 P 250 preemptready 760264/ 0/ 0 
STMR 82bfb600 5 40 N 150 eventblock 438369/ 2/ 2 
IPCT 82bfb200 6 40 N 100 eventblock 298464/ 0/ 0 
DrTC 82bfb000 7 40 N 100 eventblock 464914/ 2/ 2 
DrTF 82c09e00 8 40 N 100 eventblock 0 0 0 
MCIN 82c09200 9 19 N 10 preemptready 2427/ 0/ 0 
IPCB 82cl0e00 10 40 N 140 eventblock 63969/ 0/ 0 
IPCD 82cl0c00 11 40 N 100 eventblock 0 o/ 0 
RPCQ 82cl0a00 12 40 N 140 eventblock 261816/ o/ 0 
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82c10800 
82c10600 
82c10400 
82c10200 
82c10000 
82c12e00 
82c12c00 
82c12a00 
82c12800 
82c12600 
82c12400 
82c12200 
82c12000 
82c13e00 
82c13c00 
82c13a00 
82c13800 
82c13600 
82c13400 
82c13200 
82c13000 
82c14e00 
82c14c00 
82c14a00 
82c14800 
82c14600 
82c14400 
82c14200 
82c14000 
82c15e00 
82c15c00 
82c15a00 
82c15800 
82c15600 
82c15400 
82c15200 
82c15000 
82cl6e00 
82c16c00 
82c16a00 
82c16800 
82c16600 
82c16400 
82c16200 
82c16000 
82c17e00 
82c17c00 
82c17a00 
82c17800 
82c17600 


13 
14 
15 
16 
17 
18 
19 
20 
21 
22 
23 
24 
25 
26 
27 
28 
29 
30 
31 
32 
33 
34 
35 
36 
37 
38 
39 
40 
41 
42 
43 
4 
45 
46 
47 
48 
49 
50 
51 
52 
53 
54 
55 
56 
57 
58 
59 
60 
61 
62 


40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
20 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 
40 


z z z z z z z z z z z z z zz z z z zz z zz zz zz z zz zz zz zz zz zz zz zz zz zzz 


140 
140 
100 
100 
100 
100 
100 
100 
100 
100 
100 
140 
100 
100 
100 
100 
100 
100 
140 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 


eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
queblock 
normalready 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
sleep 
eventblock 
eventblock 
eventblock 


0/ 
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T 

67/ 
2120/ 
1/ 
3816/ 
4344/ 
3680/ 
119/ 
0/ 
129714/ 
0/ 
8617/ 
7795/ 
12244/ 
6/ 

0/ 
5453/ 
5693/ 
4733/ 
0/ 

13/ 
88993/ 
301502/ 
0/ 
3031/ 
33849/ 
0/ 

0/ 
4593/ 
39391/ 
0/ 
45103/ 
3409/ 
0/ 

0/ 

0/ 

0/ 

1/ 

1/ 
51868/ 
1/ 
3777. 
336766/ 
98597/ 
33116/ 
16971/ 
307/ 
0/ 


0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
2/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
1/ 
0/ 
0/ 
0/ 
0/ 
0/ 
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TAC 
IKE 
MACA 
NAT 
PKI 
PKEY 
WAPI 
PSEC 
ALDP 
IGSP 
STND 
ROUT 
WMAC 
WIDS 
WRRM 
CWBS 
LWPS 
IACT 
IFNT 
vt0 
U2fT 


82c17400 
82c17200 
82c17000 
82d5ce00 
82d5cc00 
82d5ca00 
82d5c800 
82d5c600 
82d5c400 
82d5c200 
82d5c000 
82d5de00 
82d5dc00 
82d5da00 
82d5d800 
82d5d600 
82d5d400 
82d5d200 
82d5d000 
82d5ea00 
82d5ec00 


63 
64 
65 
66 
67 
68 
69 
70 
71 
72 
73 
74 
75 
76 
77 
78 
79 
80 
81 
82 
83 
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100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
100 
140 


eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 
eventblock 

running 
eventblock 


0/ 
196787/ 
202843/ 

0/ 

T 

0/ 

28592/ 
5853/ 
0/ 

42/ 
12545/ 
487624/ 
68487/ 
30607/ 
34465/ 
T 
34705/ 
4022/ 
5115/ 
4519/ 
284053/ 


0/ 
0/ 
By 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
0/ 
10/ 
0/ 
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1. 开始 

内 存 利用 率 异 常 问题 ,属于 比较 罕见 的 现象 ,但 是 一 旦 问题 发 生 就 是 非常 危险 的 情况 , 需 
要 及 时 收集 信息 ,分 析 问 题 原因 ,将 问题 的 影响 度 降 到 最 低 。 

定位 故障 的 思路 如 下 。 

D 判断 当前 内 存 是 否 正 常 。 

© 判断 近期 操作 是 否 影响 到 内 存 。 

© 判断 具体 是 哪个 进程 长 时 间 占 用 内 存 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 当前 内 存 利 用 率 情 况 

通过 及 时 查看 当前 内 存 利 用 率 实时 状态 ,可 以 判断 问题 的 严重 程度 ,也 能 第 一 时 间 收 集 更 
多 的 有 用 信息 ,以便 明确 下 一 步 操作 。 

MS: display cpu-usage 

例如 : 通过 命令 查看 ,可 以 确认 当前 内 存 是 正常 状态 (高 于 70% 且 出 现 持 续 增 长 则 表示 
异常 )。 


[AC]display memory 

System Total Memory(bytes): 533578560 
Total Used Memory(bytes) : 111957472 
Used Rate: 20% 


(2) 收集 各 进程 占用 内 存 实时 信息 


命令 : [AChidecmd ]_display memory 32 group core 0 

[AC-hidecmd ]_display memory 64 core 0 

[AC-hidecmd ]_display memory 128 group core 0 

[AC-hidecmd ]_display memory 256 group core 0 

[AChidecmd ]_display memory 512 group core 0 

[AC-hidecmd ]_display memory 1024 group core 0 

[AC-hidecmd ]_display memory 2048 group core 0 

[AChidecmd ]_display memory 4096 group core 0 
[AC-hidecmd]_display memory 32 group core 0 
(0106, 216) (010d, 6) (0801, 6) (0802, 5) 
(0b00, 1) (0270, 14) (0341, 539) (0110, 51) 
(0805, 8) (0822, 1) (0804, 2) (0831, 161) 
(0830, 140) (0213, 1250) (0828, 26) (0833, 5) 
(0806, 3) (0826, 7) (0214, 1806) (0215, 199) 
(0216, 4469) (042e, 24) (02le, 2) (0240, 116) 
(0900, 813) (0468, 2) (0c43, 65) (0230, 168) 
(0d20, 188) (0311, 8) (0310, 5) (0360, 1) 
(041e, 33) (0518, 2) (0846, 23) (0b28, 34) 
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(0b02， 34) (0b0e, 9) (0d10, 67) (0505, 8) 
(0543, 2) (0125, 10) (04d2, 1) (010c, 10) 
(0276, 1) (0b23, 8) (0274, 1) (0292, 8) 
(0b01, 27) (043a, 9) (0277, 4) (0501, 43) 
(0279, 1) (0260, 4) (ccl6, 10) (0263, 4) 
(0446, 23) (04c9, 21) (0467, 4) (040c, 11) 
(0401, 4) (0418, 2) (042a, 1) (0c62, 1) 
(04c4, 6) (0c21, 6) (0c23, 16) (04ca, 16) 
(0342， 14) (0816, 4) (0320, 46) (0321, 6) 
(0817, 3) (0387, 2) (0c71, 70) (0c83, 27) 
(0490, 16) (0526, 12) (0528, 11) (0c22, 16) 
(04a0, 17) (0504, 1) (0502, 1) (0491, 1) 
(0509, 4) (0537, 10) (0515, 1) (0553, 2) 
(0428, 1) (0340, 7) (02b5, 1) (0524, 2) 
(0523, 5) (0c12, 4) (0425, 4) (0904, 2) 
(0538, 12) (0b11, 1) (0c3b, 3) (0527, 5) 
(0810, 2) (0498, 12) (0c26, 12) (0b0c, 3) 
(0217, 202) (0602, 7) (04cb, 4) (0b18, 12) 
(0b22, 5) (0cd4， 1) (0514, 9) (0811, 6) 
(034c, 6) (0c36, 3) (0911, 94) (0516, 10) 
(0c60, 2) (085a, 4) (0532, 1) (Ocb6, 2) 
(0807, 1) (0813, 5) (Ocb8, 1) (0000, 0) 


[AC-hidecmd]_display memory 64 core 0 

Block Size 64 Free 7 Used 3820 Total 3827 
二 Block From 0 = = 
(d0333b40, 02600000) (d0333ba0, 02600000) (d0333c00, 02600000) 
(d0333c60, 011e0025) (d0333cc0, 01101001) (d0333d20, 01101001) 
(d0333d80, 011e0025) (d0333de0, 011e0025) (d0333e40, 01106002) 
(d0333ea0, 01109001) (d0333f00, 01109001) 


[AC-hidecmd]_display memory 128 group core 0 


(cc00, 1) (cc03, 1) (0846, 2) (0801, 17) 
(0802, 17) (0276, 1) (0110, 37) (0830, 2) 
(0806, 22) (0214, 480) (0216, 500) (0b28, Ly 
(0c43, 9) (0240, 106) (0d20, 452) (0b25, 1) 
(0833, 1) (0310, 1) (0213, 34) (0218, 3) 
(0278, 1) (0260, 1) (0490, 3) (0501, 4) 
(0c71, 24) (0101, 2) (04a0, 12) (0102, 1) 
(0125, 2) (0cb9, 3) (Ocb6, 1) (0b0b, 2) 
(0llc, 2) (OcaO, 23) (Oc11, 23) (0230, 19) 
(0340, 2) (04c4, 2) (0468, 2) (0525, 2) 
(0c14, 2) (0816, 2) (0b23, 2) (0b0c, 6) 
(0b02, 1) (0900, 4) (0b01, 3) (0538, 10) 


(041e, 8) (0527, 5) (0c2a, 7) (0000, 0) 
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[AC-hidecmd]_display memory 256 group core 0 


(02f0, 1) (0llc, 27) (0110, 2) (021b, 1) 
(0830, 1) (0806, 2) (0213, 214) (0283, 1) 
(0214, 850) (0125, 130) (040c, 1) (0b0c, 2) 
(0101, 11) (04d2, 16) (0216, 78) (0c01, 1) 
(010c, 1) (0c00, 2) (0240, 55) (042a, 1) 
(0102, 3) (0c43, 2) (0425, 1) (0341, 501) 
(0342, 91) (0523, 1) (0810, 1) (0320, 29) 
(0c72, 13) (0c71， 21) (0420, 1) (0502, 1) 
(0504, 1) (0491, 1) (0483, 1) (04a0, T 
(043a, 1) (042e, 7) (0813, 1) (0869, 2) 
(0807, 1) (0600, 1) (0661, 1) (0b05, 181) 
(0b0b, 2) (0446, 23) (ccl5, 2) (cc16, 5) 
(041e, 16) (0467, 2) (0428, 2) (0c30， 6) 
(0816, 1) (0b18, 1) (0846, 1) (0526, 5) 
(0b01, 4) (0b02, 9) (0b11, 2) (0b23, 1) 
(0b0d, 1) (0514, 1) (0000, 0) (0000, 0) 
[AC-hidecmd]_display memory 512 group core 0 

(0117, 1) (cc00， 1) (0lle, 4) (0110, T) 
(0cb6 , 1) (0813, 1) (0c43， 13) (0c00, 1) 
(0c01, 1) (0341, 1) (0216, 28) (0360, 1) 
(041e, 2) (04ca, 1) (04c9, 1) (0532, 1) 
(0125, 10) (04d2, 1) (051d, 4) (0260, 2) 
(0213, 3) (0230, 9) (040c, 1) (0342, 11) 
(0c72, 3) (0240, 10) (OcOe, 1) (04a0, 23) 
(04a6, 2) (0102, 3) (0869, 2) (0602, 13 
(0101, 1) (Obla, 1) (0801, 16) (0501, 4) 
(085a, 11) (0526, 10) (0b02, 5) (0278, 3) 
(0d20, 68) (0b01, 2) (0214, 205) (0217, 20) 
(0c2b, 1) (0000, 0) (0000, 0) (0000, 0) 
[AC-hidecmd]_display memory 1024 group core 0 

(0118, 1) (010d, 1) (0160, 5) (0110, 38) 
(021b, 1) (085f, 1) (0216, 108) (0c71, 1) 
(021c, 4) (0215, 1004) (0cb8, 1) (0101, 3) 
(0602, 2) (0lle, 1) (Ocb6, 1) (0900, 1) 
(041e, 1) (051c， 1) (0508, 1) (0b28, 4) 
(0b01, 1) (0d10, 1) (0509, 8) (04d2, 2) 
(0518, 10) (0b0b, 1) (cc16, 10) (0320, 5) 
(0b11, 1) (cc15, 2) (04a0, 4) (0102, 4) 
(0llc, 1) (0490, 3) (0214, 3) (0264, 1) 
(0260, 1) (0b13, 1) (0b18, 2) (0213, 1 
(0b05, 68) (040c, 1) (0b02, 14) (0d20, 1y 
(0217, 139) (0278, 2) (0000, 0) (0000, 0) 


710 根 叔 的 云图 一 一 网 络 故障 大 排查 


[AC-hidecmd]_display memory 2048 group core 0 


(0118, 1) (0101, 10) (0102, 46) (0110, 2) 
(010f, 2) (0821, 5) (021b, 1) (0283, 14) 
(0111, 1) (0d10, 1) (0125, 8) (0218, 10) 
(0260, 1) (0216, 10) (0264, 1) (042a, J) 
(0341, 3) (040c, 1) (0342, 5) (0425, 1) 
(0cc5, 1) (0661, 2) (0420, 5) (0502, 1) 
(0504, 1) (0491, 1) (04a0, 16) (ccl6, 5) 
(043a, 1) (0523, 1) (042e, 1) (0805, 5) 
(0813, 1) (0807, 1) (Ocb6, 1) (0602, 6) 
(0000, 2) (0600, 7) (ccc8, 1) (0810, 2) 
(011c, 1) (0525, 2) (Olle, 1) (0526, 2) 
(0217, 1) (0278, 1) (0000, 0) (0000, 0) 
[AC-hidecmd]_display memory 4096 group core 0 
(0160, 1) (010f, 1) (0110, 1) (0822, 1 
(0813, 2) (0821, 15 (01i 1381) (0111, 200) 
(0c43, 18) (0102, 8) (0b02, 4) (0101, 9) 
(0b28, 1) (0b01, 1) (0911, 1) (0216, 13) 
(0c44, 1) (0230, 2) (0342, 1) (0321, 4) 
(0501, T 40517; 2) (Olle, 2) (0537, 1) 
(0516, 1) (04a0, 10) (0805, 5) (0llc, 1) 
(0602, 9) (0c60, 2) (0b0b, 1) (0b13, 1) 
(0240, 2) (ccc8, 1) (0509, 2) (0816, 1) 
(0c28, 3) (0514, 1) (0000, 0) (0000, 0) 
(3) 现 网 是 否 存在 重大 操作 
D 例如 新 增 网 管 , 对 设备 开始 采集 信息 。 
© 增加 新 配置 ,新 功能 ,如 IPSec, ARP Snooping 功能 等 。 
(4) 查看 告警 .日 志 等 历史 信息 并 反馈 具体 操作 
D 命令 : <AC>display trapbuf fer 
<AC>display logbuf fer 
[AC-hidecmd ]_display memory 32 group core 0 
[AC-hidecmd ]_display memory 64 core 0 
[AChidecmd ]_display memory 128 group core 0 
[AChidecmd ]_display memory 256 group core 0 
[AChidecmd ]_display memory 512 group core 0 
[AChidecmd ]_display memory 1024 group core 0 
[AChidecmd ]_display memory 2048 group core 0 
[AC-hidecmd ]_display memory 4096 group core 0 
[AC-hidecmd]_display memory 32 group core 0 
(0106, 216) (010d, 6) (0801, 6) (0802, 5) 
(0b00, 1) (0270, 14) (0341, 539) (0110, 51) 
(0805, 8) (0822, 1) (0804, 2) (0831, 161) 


EA LRP 


vapi 


(0830, 140) (0213, 1250) (0828, 26) (0833, 5) 
(0806, 3) (0826, 7) (0214, 1806) (0215, 199) 
(0216, 4469) (042e, 24) (02le, 2) (0240, 116) 
(0900, 813) (0468, 2) (0c43, 65) (0230, 168) 
(0d20, 188) (0311, 8) (0310, 5) (0360, 1) 
(041e, 33) (0518, 2) (0846, 23) (0b28, 34) 
(0b02, 34) (0b0e, 9) (0d10, 67) (0505, 8) 
(0543, 2) (0125, 10) (04d2, 1) (010c, 10) 
(0276, 1) (0b23, 8) (0274, 1) (0292, 8) 
(0b01, 27) (043a, 9) (0277, 4) (0501, 43) 
(0279, 1) (0260, 4) (ccl6, 10) (0263, 4) 
(0446, 23) (04c9, 21) (0467, 4) (040c, 11) 
(0401, 4) (0418, 2) (042a, 1) (0c62, 12): 
(04c4, 6) (0c21, 6) (0c23, 16) (04ca, 16) 
(0342, 14) (0816, 4) (0320, 46) (0321, 6) 
(0817, 3) (0387, 2) (0c71, 70) (0c83, 27) 
(0490, 16) (0526, 12) (0528, 11) (0c22， 16) 
(04a0， 17) (0504, 1) (0502, 1) (0491, 1) 
(0509, 4) (0537, 10) (0515, 1) (0553, 2) 
(0428, 1) (0340, 7) (02b5, 1) (0524, 2) 
(0523, 5) (0c12, 4) (0425, 4) (0904, 2) 
(0538, 12) (0b11, 1) (0c3b, 3) (0527, 5) 
(0810, 2) (0498, 12) (0c26, 12) (0b0c, 3) 
(0217, 202) (0602, 7) (04cb, 4) (0b18, 12) 
(0b22, 5) (0cd4， 1) (0514, 9) (0811, 6) 
(034c, 6) (0c36, 3) (0911, 94) (0516, 10) 
(0c60, 2) (085a, 4) (0532, 1) (Ocb6, 2) 
(0807, 1) (0813, 5) (0cb8, 1) (0000, 0) 


[AC-hidecmd]_ display memory 64 core 0 

Block Size 64 Free 了 Used 3820 Total 3827 
RE O E Block From OEE A T 
(d0333b40, 02600000) (d0333ba0, 02600000) (d0333c00, 02600000) 
(d0333c60, 011e0025) (d0333cc0, 01101001) (d0333d20, 01101001) 
(d0333d80, 011e0025) (d0333de0, 011e0025) (d0333e40, 01106002) 
(d0333ea0, 01109001) (d0333f00, 01109001) 


[AC-hidecmd]_display memory 128 group core 0 


(cc00, 1) (cc03, 1) (0846, 2) (0801, 17) 
(0802, 17) (0276, 1) (0110, 37) (0830, 2) 
(0806, 22) (0214, 480) (0216, 500) (0b28, 1) 
(0c43, 9) (0240, 106) (0d20, 452) (0b25, 1) 
(0833, 1) (0310, 1) (0213, 34) (0218, 3) 
(0278, 1) (0260, 1) (0490, 3) (0501, 4) 
(0c71, 24) (0101, 2) (04a0, 12) (0102, Tj 
(0125, 2) (0cb9, 3) (Ocb6, 1) (0b0b, 2) 
(011c, 2) (OcaO, 23) (0c11, 23) (0230, 19) 
(0340, 2) (04c4, 2) (0468, 2) (0525, 2) 
(0c14, 2) (0816, 2) (0b23, 2) (0b0c, 6) 
(0b02, 1) (0900, 4) (0b01, 3) (0538, 10) 


(041e, 8) (0527, 5) (Oc2a, 7) (0000, 0) 


712 根 叔 的 云图 一 一 网 络 故障 大 排查 

[AC-hidecmd]_display memory 256 group core 0 

(02f0, y: 00416; 27) (0110, 2) (021b, 1) 
(0830, 1) (0806, 2) (0213, 214) (0283, 1) 
(0214, 850) (0125, 130) (040c, 1) (0b0c, 2) 
(0101, 11) (04d2, 16) (0216, 78) (0c01, Jy 
(010c, 1) (0c00, 2) (0240, 55) (042a, 1) 
(0102, 3) (0c43, 2) (0425, 1) (0341, 501) 
(0342, 91) (0523, 1) (0810, 1) (0320, 29) 
(0c72， 13) (0c71, 21) (0420, 1) (0502, 1y 
(0504, 1) (0491, 1) (0483, 1) (04a0, T) 
(043a, 1) (042e, 7) (0813, 1) (0869, 2) 
(0807, 1) (0600, 1) (0661, 1) (0b05, 181) 
(0b0b, 2) (0446, 23) (cc15, 2) (cc16, 5) 
(041e, 16) (0467, 2) (0428, 2) (0c30， 6) 
(0816, 1) (0b18, 1) (0846, 1) (0526, 5) 
(0b01, 4) (0b02, 9) (0b11, 2) (0b23, 1) 
(0b0d, 1) (0514, 1) (0000, 0) (0000, 0) 
[AC-hidecmd]_display memory 512 group core 0 

(0117, 1) (cc00, 1) (Olle, 4) (0110, 7) 
(0cb6, 1) (0813, 1) (0c43, 13) (0c00, 1) 
(0c01, 1) (0341, 1) (0216, 28) (0360, 1) 
(041e, 2) (04ca, 1) (04c9, 1) (0532, 1) 
(0125, 10) (04d2, 1) (051d, 4) (0260, 2) 
(0213, 3) (0230, 9) (040c, 1) (0342, 11) 
(0c72, 3) (0240, 10) (0c0e, 1) (04a0, 23) 
(04a6, 2) (0102, 3) (0869, 2) (0602, 1) 
(0101, 1) (Obla, 1) (0801, 16) (0501, 4) 
(085a, 11) (0526, 10) (0b02, 5) (0278, 3) 
(0d20, 68) (0b01, 2) (0214, 205) (0217, 20) 
(0c2b, 1) (0000, 0) (0000, 0) (0000, 0) 
[AC-hidecmd]_display memory 1024 group core 0 

(0118, 1) (010d， 1) (0160, 5) (0110, 38) 
(021b, 1) (085f, 1) (0216, 108) (0c71, 1) 
(021c, 4) (0215, 1004) (Ocb8, 1) (0101; 3) 
(0602, 2) (011e, 1) (0cb6, 1) (0900, 1) 
(041e, 1) (051c, 1) (0508, 1) (0b28, 4) 
(0b01, 1) (0d10, 1) (0509, 8) (04d2, 2) 
(0518, 10) (0b0b, 1) (cc16, 10) (0320, 5) 
(0b11, 1) (cc15, 2) (04a0, 4) (0102, 4) 
(011c, 1) (0490, 3) (0214, 3) (0264, 1) 
(0260, 1) (0b13, 1) (0b18, 2) (0213, Ty: 
(0b05, 68) (040c, 1) (0b02, 14) (0d20, 1) 
(0217, 139) (0278, 2) (0000, 0) (0000, 0) 


EA LPa 


713 


[AC-hidecmd]_display memory 2048 group core 0 


(0118, 19 (9101, 10) (0102, 46) (0110, 2) 
(010f, 2) (0821, 5) (021b, 1) (0283, 14) 
(0111, 1) (0d10, 1) (0125, 8) (0218, 10) 
(0260, 1) (0216, 10) (0264, 1) (042a, 1) 
(0341, 3) (040c, 1) (0342, 5) (0425, 1 
(0cc5, 1) (0661, 2) (0420, 5) (0502, 1) 
(0504, 1) (0491, 1) (04a0, 16) (cc16, 5) 
(043a, 1) (0523, 1) (042e, 1) (0805, 5) 
(0813, 1) (0807, 1) (Ocb6, 1) (0602, 6) 
(0000, 2) (0600, TY (c8: 1) (0810, 2) 
(011c, 1) (0525, 2) (011e, 1) (0526, 2) 
(0217, 1) (0278, 1) (0000, 0) (0000, 0) 
[AC-hidecmd]_display memory 4096 group core 0 

(0160, 1) (010f, 1) (0110, 1) (0822, 1) 
(0813, 2) (0821, 1). <01ff; 1381) (0111, 200) 
(0c43， 18) (0102, 8) (0b02, 4) (0101, 9) 
(0b28, 1) (0b01, 1) (0911, 1) (0216, 13) 
(0c44, 1) (0230, 2) (0342, 1) (0321, 4) 
(0501, 1) (0517, 2) (Olle, 2) (0537, 1) 
(0516, 1) (04a0, 10) (0805, 5) (0llc, 1) 
(0602, 9) (0c60, 2) (0b0b, 1) (0b13, 1) 
(0240, 2) (ccc8, 1) (0509, 2) (0816, 1) 
(0c28, 3) (0514, 1) (0000, 0) (0000, 0) 


© 反馈 信息 举例 。 例 如 , 当 多 网 管 对 设备 同时 采集 信息 时 ,可 能 会 导致 内 存 泄漏 ,此 时 可 


以 关闭 新 上 的 网 管 观察 效果 。 

O 查看 告警 .日 志 等 历史 信息 

<AC>display trapbu f fer 

<AC>display logbu f fer 
[AC-hidecmd ]_display memory 32 group core 0 
[AChidecmd 
[AChidecmd 
[AC-hidecmd ]_display memory 256 group core 0 


J_display memory 64 core 0 
]_display memory 128 group core 0 
[AChidecmd ]_display memory 512 group core 0 
[AC-hidecmd ]_display memory 1024 group core 0 
[AChidecmd ]_display memory 2048 group core 0 


[AChidecmd ]_display memory 4096 group core 0 


[AC-hidecmd]_display memory 32 group core 0 


(0106, 216) (010d, 6) (0801, 6) 
(0b00, 1) (0270, 14) (0341, 539) 
(0805, 8) (0822, 1) (0804, 2) 


(0830, 140) (0213, 1250) (0828, 26) 


(0802, 
(0110, 
(0831, 
(0833, 


5) 
51) 
161) 
5) 


714 根 叔 的 云图 一 一 网 络 故障 大 排查 
(0806, 3) (0826, 7) (0214, 1806) (0215, 199) 
(0216, 4469) (042e, 24) (021e, 2) (0240, 116) 
(0900, 813) (0468, 2) (0c43, 65) (0230, 168) 
(0d20, 188) (0311, 8) (0310, 5) (0360, 1) 
(041e, 33) (0518, 2) (0846, 23) (0b28, 34) 
(0b02, 34) (0b0e, 9) (0d10, 67) (0505, 8) 
(0543, 2) (0125, 10) (04d2, 1) (010c, 10) 
(0276, 1) (0b23, 8) (0274, 1) (0292, 8) 
(0b01, 27) (043a, 9) (0277, 4) (0501, 43) 
(0279, 1) (0260, 4) (cc16, 10) (0263, 4) 
(0446, 23) (04c9, 21) (0467, 4) (040c, 11) 
(0401, 4) (0418, 2) (042a, 1) (0c62, 1) 
(04c4, 6) (0c21, 6) (0c23, 16) (04ca, 16) 
(0342, 14) (0816, 4) (0320, 46) (0321, 6) 
(0817, 3) (0387, 2) (0c71, 70) (0c83, 27) 
(0490, 16) (0526, 12) (0528, 11) (0c22, 16) 
(04a0, 17) (0504, 1) (0502, 1) (0491, 1) 
(0509, 4) (0537, 10) (0515, 1) (0553; 2) 
(0428, 1) (0340, 7) (02b5, 1) (0524, 2) 
(0523, 5) (0c12, 4) (0425, 4) (0904, 2) 
(0538, 12) (0b11, 1) (0c3b, 3) (0527; 5) 
(0810, 2) (0498, 12) (0c26, 12) (0b0c, 3) 
(0217, 202) (0602, 7) (04cb, 4) (0b18, 12) 
(0b22, 5) (Ocd4, 1) (0514, 9) (0811, 6) 
(034c, 6) (0c36, 3) (0911, 94) (0516, 10) 
(0c60, 2) (085a, 4) (0532, 1) (Ocb6, 2) 
(0807, 1) (0813, 5) (0cb8, 1) (0000, 0) 


[AC-hidecmd]_display memory 64 core 0 

Block Size 64 Free 7 Used 3820 Total 3827 
Tye ee Block From rE AA 
(d0333b40, 02600000) (d0333ba0, 02600000) (d0333c00, 02600000) 
(d0333c60, 011e0025) (d0333cc0, 01101001) (d0333d20, 01101001) 
(d0333d80, 011e0025) (d0333de0, 011e0025) (d0333e40, 01106002) 
(d0333ea0, 01109001) (d0333f00, 01109001) 


[AC-hidecmd]_display memory 128 group core 0 


(cc00, 1) (cc03, 1) (0846, 2) (0801, 17) 
(0802, 17) (0276, 1) (0110, 37) (0830, 2) 
(0806, 22) (0214, 480) (0216, 500) (0b28, 1) 
(0c43, 9) (0240, 106) (0d20, 452) (0b25, 1) 
(0833, 1) (0310, 1) (0213, 34) (0218, 3) 
(0278, 1) (0260, 1) (0490, 3) (0501, 4) 
(0c71, 24) (0101, 2) (04a0, 12) (0102, 1) 
(0125, 2) (0cb9, 3) (0cb6, 1) (0b0b, 2) 
(011c， 2) (0ca0, 23) (0cl1， 23) (0230, 19) 
(0340, 2) (04c4, 2) (0468, 2) (0525, 2) 
(0c14, 2) (0816, 2) (0b23, 2) (0b0c, 6) 
(0b02, 1) (0900, 4) (0b01, 3) (0538, 10) 


(041e, 8) (0527, 5) (Oc2a, 7) (0000, 0) 


区 2 一 > 无 线 产品 715 


[AC-hidecmd]_display memory 256 group core 0 


(02f0, 1) (011c, 27) (0110, 2) (021b, 1) 
(0830, 1) (0806, 2) (0213, 214) (0283, J 
(0214, 850) (0125, 130) (040c, 1) (0b0c, 2) 
(0101, 11) (04d2, 16) (0216, 78) (0c01, Jy 
(010c, 1) (0c00, 2) (0240, 55) (042a, 1 
(0102, 3) (0c43, 2) (0425, 1) (0341, 501) 
(0342, 91) (0523, 1) (0810, 1) (0320, 29) 
(0c72, 13) (0c71， 21) (0420, 1) (0502, 1 
(0504, 1) (0491, 1) (0483, 1) (04a0, 7), 
(043a, 1) (042e, 7) (0813, 1) (0869, 2) 
(0807, 1) (0600, 1) (0661, 1) (0b05, 181) 
(0b0b, 2) (0446, 23) (ccl5, 2) (cc16, 5) 
(041e, 16) (0467, 2) (0428, 2) (0c30， 6) 
(0816, 1) (0b18， 1) (0846, 1) (0526, 5) 
(0b01, 4) (0b02， 9) (0b11, 2) (0b23, 1) 
(0b0d, 1) (0514, 1) (0000, 0) (0000, 0) 


[AC-hidecmd]_display memory 512 group core 0 


(0117, 1) (cc00, 1) (Olle, 4) (0110, 7) 
(0cb6， 1) (0813, 1) (0c43, 13) (0c00, 1) 
(0c01, 1) (0341, 1) (0216, 28) (0360, 1) 
O4le, 2) (04ca, 1) (0409, 1) (0532, 1) 
(0125, 10) (04d2, 1) (051d, 4) (0260, 2) 
(0213, 3) (0230, 9) (040c, 1) (0342, 11) 
(0°72, 3) (0240, 10) (0c0e, 1) (04a0, 23) 
(04a6， 2) (0102， 3) (0869, 2) (0602, 1) 
(0101, 1) (Obla, 1) (0801, 16) (0501, 4) 
(085a, 11) (0526, 10) (0b02, 5) (0278, 3) 
(0d20, 68) (0b01, 2) (0214, 205) (0217, 20) 
(0c2b, 1) (0000, 0) (0000, 0) (0000, 0) 


[AC-hidecmd]_display memory 1024 group core 0 


(0118, 1) (010d, 1) (0160, 5) (0110, 38) 
(021b, 1) (085f, 1) (0216, 108) (0c71, 1) 
(021c, 4) (0215, 1004) (0cb8, 1) (0101, 3y 
(0602, 2) (Olle, 1) (Ocb6, 1) (0900, TY 
(041e, 1) (051c, 1) (0508, 1) (0b28, 4) 
(0b01, 1) (0d10, 1) (0509, 8) (04d2, 2) 
(0518, 10) (0b0b, 1) (ccl6, 10) (0320, 5) 
(0b11, 1) (ccl5, 2) (04a0, 4) (0102, 4) 
(011c, 1) (0490, 3) (0214, 3) (0264, D 
(0260, 1) (0b13, 1) (0b18, 2) (0213, D 
(0b05, 68) (040c, 1) (0b02, 14) (0d20, 1) 


(0217, 139) (0278, 2) (0000, 0) (0000, 0) 


716 根 叔 的 云图 一 一 网 络 故障 大 排查 


[AC-hidecmd]_display memory 2048 group core 0 


(0118, 1) (0101, 10) (0102, 46) (0110, 2) 
(010f, 2) (0821, 5) (021b, 1) (0283, 14) 
(0111, 1) (0d10, 1) (0125, 8) (0218, 10) 
(0260, 1) (0216, 10) (0264, 1) (042a, 1) 
(0341, 3) (040c, 1) (0342, 5) (0425, 1 
(0cc5, 1) (0661, 2) (0420, 5) (0502, 1 
(0504, 1) (0491, 1) (04a0, 16) (cc16, 5) 
(043a, 1) (0523, 1) (042e, 1) (0805, 5) 
(0813, 1) (0807, 1) (0cb6, 1) (0602, 6) 
(0000, 2) (0600, 7) (ccc8, 1) (0810, 2) 
(011c, 1) (0525, 2) (Olle, 1) (0526, 2) 
(0217, 1) (0278, 1) (0000, 0) (0000, 0) 
[AC-hidecmd]_display memory 4096 group core 0 

(0160, 1) (010f, 1) (0110, 1) (0822, 1) 
(0813, 2) (0821, 1) (Ol 1381) (0111, 200) 
(0c43, 18) (0102, 8) (0b02, 4) (0101, 9) 
(0b28, 1) (0b01, 1) (0911, 1) (0216, 13) 
(0c44， 1) (0230, 2) (0342, 1) (0321, 4) 
(0501, 1) (0517, 2) (Olle, 2) (0537, Ty 
(0516, 1) (04a0, 10) (0805, 5) (0llc, 1) 
(0602, 9) (0c60, 2) (0b0b, 1) (0b13, 1) 
(0240, 2) (ccc8, 1) (0509, 2) (0816, 1) 
(0c28, 3) (0514, 1) (0000, 0) (0000, 0) 


检查 电源 状况 


WRA 
400-310-0504 = 未 # Era] 
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07 无 线 产品 SSD 7.1.3 AC 异常 重启 故障 排查 步骤 详解 


1. 开始 

AC 重启 的 原因 总 共有 几 种 情况 : 四 电源 问题 ; @ 手 动 reboot; @ 软 件 错误 导致 的 内 存 异 
常 重启 ; @CPU 死 循环 触发 软件 看 门 狗 保护 重启 ; @CPU 硬件 重启 等 。 

定位 故障 的 思路 是 : 先 排除 电源 掉 电 和 人 为 手动 重启 的 可 能 性 ,对 于 其 他 可 能 原因 需要 
尽 可 能 多 的 收集 信息 辅助 H3C 工程 师 定 位 。 

2. 流程 图 相关 操作 说 明 

(1) 是 否 热 重 启 

O 通过 网 管 确 定 是 否 热 重启 。 如 果 AC 有 纳入 网 管 ,AC 重启 的 告警 信息 会 送 到 网 管 平 
台 。 通 过 网 管 收集 的 告警 信息 就 能 准确 确定 重启 时 间 、 次 数 以 及 重启 类 型 是 热 重启 还 是 冷 
重启 。 

例如 : IMC 平台 收 到 冷 启动 告警 ,如 图 7-1 所 示 。 


Q 二 各 详细 信息 


告警 详细 信息 
名 称 Cold Start 
级 别 ara 
oD 1.3.6.1.4.1.2011.10.6.8.4 
告警 时 间 — 2013-07-04 09:06:55 
告警 来 源 — Fio0-E-G-31(10 1534231) 更 多 告警 
类 型 4& Trap 
告警 分 类 。 其 他 设备 机警 
RERS 。 9 未 收复 
确认 状态 7? 未 确认 
详细 信息 — Cold Start，SNMP Agent 正 在 重新 初始 化 自身 。 
告警 原因 。 人、 设备 重新 启动 ; 2、 使 能 SNMP Agent. 3、 代 理 的 可 置 或 协议 实体 实现 部 可 能 被 改 交 。 
修复 建议 。 查看 设备 信息 ， 确 定 SNMP Agent 重 新 初始 化 的 原因 。 


Lj -iez 
告警 参数 。 无 


图 7-1 IMC 平台 收 到 冷 启动 告警 


AC 热 重启 , 冷 重 启 的 告警 OID 分 别 如 表 7-2 所 示 。 
表 7-2 AC 热 重启 、 冷 重启 的 告警 OID 


Trap 中 文 名 称 Trap 名 称 OID 
系统 冷 启 动 通告 hwSysColdStartTrap 1.3.6.1. 4. 1.2011. 10. 6. 8. 4 
系统 热 启动 通告 hwSysWarmStartTrap LAGIAN 2611 10.065 


@ 通过 AC 命令 行 确定 是 否 热 重启 。 在 AC 上 也 能 通过 命令 查看 AC 上 一 次 重启 
类 型 。 

命令 : display reboot-ty pe 

例如 : 上 次 重启 类 型 为 Cold Jš T; E Ji ,如 果 为 Warm 则 属于 热 重 启 。 
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< AC>4isplay reboot-type 
The rebooting type this time is: Cold 


(2) 检查 电源 状况 

冷 重启 一 般 和 电源 掉 电 、 板 卡 插 氢 等 操作 相关 。 所 以 主要 检查 电源 供电 状况 以 及 机 房 近 
期 有 无 施工 导致 断 电 情况 。 

如 果 是 插 卡 式 AC, 可 以 查看 同 机 框 的 其 他 板 卡 在 同一 时 刻 有 无 重启 现象 ,或 者 检查 交换 
机 信息 也 可 以 辅助 定位 电源 问题 。 

(3) 故障 前 有 无 人 员 操 作 设 备 

查看 有 无 人 员 操 作 设 备 和 做 了 哪些 操作 。 

D 是 否 使 用 了 命令 行 .Web 操作 或 者 网 管 set 相关 OD 等 操作 主动 对 设备 进行 了 重启 ， 
要 先 予 以 排除 。 

© 收集 AC 硬件 记录 的 信息 来 辅助 判断 人 为 的 主动 重启 。 

命令 : display reboot-information from-device 5 


例如 : 通过 Web、 网 管 Telnet 命令 行 方式 重启 AC 时 ,硬件 记录 信息 如 下 。 


[AC-hidecmd] display reboot-information from-device 5 

ER assa=sa Reboot mio 一 ~ 一 

nReboot Task: HDQ0 (TID: 89) //web 方式 重启 

nReboot Time: 2013-04-23 15:14:29 

nReboot Tick: Ox31(CPU Tick High) 0xc1c08ab7(CPU Tick Low) 
nReboot Type: WARM 

SE ESNEA REE Reboot jiao 二 < 

nReboot Task: STMR (TID: 5) // 网 管 重启 

nReboot Time: 2013-04-23 15:41:51 

nReboot Tick: 0x18(CPU Tick High) 0x56459987(CPU Tick Low) 
nReboot Type: WARM 

i RESETE Ribootinio r-ea 

nReboot Task: vt0 (TID: 86) //telnet 命令 行 重启 
nReboot Time: 2013-04-23 14:12:18 

nReboot Tick: 0xel(CPU Tick High) 0xa2cb9302(CPU Tick Low) 
nReboot Type: WARM 


(4) 收集 信息 

O 如 果 有 日 志 服 务 器 ,收集 Log 服务 器 上 的 日 志 信息 。 

@ 收集 AC 设备 上 信息 ,反馈 H3C 工程 师 定位 。 

第 一 ,hidecmd 隐 含 模式 收集 (系统 视图 下 通过 _hidecmd 命令 进入 ) 。 


display cpu-usage history // 隔 10 秒 钟 收集 一 次 , 共 5 次 。 
display cpu-usage task // 隔 10 秒 钟 收集 一 次 , 共 5 次 。 
display task // 隔 10 秒 钟 收集 一 次 , 共 5 次 。 


display reboot-informationverbose from-device 5 
第 二 ,diagnose 诊断 模式 收集 (在 hidecmd 隐 含 模式 通过 en_diag 命令 进入 ) 。 
diag boot-info display 
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第 三 ,系统 模式 收集 。 

display device manuinfo 

display diagnostic-information // 隔 1 分 钟 收集 1 次 , 共 收 集 2 次 。 
AC R2308P10( 内 部 版 本 号 B96D023SP01) 之 前 版 本 还 需 收集 。 

hidecmd 隐藏 模式 下 收集 (系统 视图 下 通过 _hidecmd 命令 进入 )。 
display reboot-type 

display exception 10 verbose from-device 

display deadloop 20 verbose from-device 


display queue 


fpl-diag enable // 命 令 直 接 打 全 ,Tab 键 不 能 补 全 。 
fpl-diag showexception // 命 令 直接 打 全 ,Tab 键 不 能 补 全 。 
fpl showcpufc // 命 令 直 接 打 全 ,Tab 键 不 能 补 全 。 
fpl showmem // 命 令 直接 打 全 ,Tab 键 不 能 补 全 。 


(5) 了 解 近期 网 络 割 接 .配置 变更 情况 

如 果 近 期 有 人 员 登 录 设 备 , 则 需要 尽 可 能 丰富 地 了 解 其 操作 方式 .配置 变更 情况 。 关 于 现 
网 的 其 他 割 接 动 作 也 尽 可 能 收集 信息 ,比如 新 业务 开通 ` 业 务 变更 等 。 这 些 都 能 辅助 H3C T 
程 师 快速 定位 问题 。 

信息 反馈 H3C 工程 师 后 ,再 一 起 探讨 , 共 商 处 理 策略 。 


7.1.4 网 管 采集 无 线 设备 数据 
异常 故障 排查 
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S| 7.1.4 网 管 采集 无 线 设 备 数 据 


1. 开始 

网 管 软件 采集 无 线 设备 节点 使 用 SNMP 协议 ,无线 设 备 对 于 网 管 采集 有 认证 和 接 入 权限 
控制 ,网 管 采集 无 线 设备 上 部 分 节点 时 ,需要 开启 相应 的 采集 开关 。 

网 管 采集 故障 排查 思路 : 首先 检查 读 取 设备 公有 节点 情况 ,其 次 检查 设备 MIB-Style, 然 
后 检查 是 否 为 AC 代理 节点 ,最 后 排查 节点 是 否 有 统计 开关 。 

2. 流程 图 相关 操作 说 明 

(1) 能 读 取 公有 节点 

设备 节点 包括 公有 节点 和 私有 节点 ,网 管 通过 SNMP 协议 与 无 线 设备 连接 成 功 后 ,可 以 
采集 公有 节点 数据 ,采集 私有 节点 受到 设备 MIB-Style、AC 代理 ,统计 开关 等 因素 影响 ,如 果 
采集 不 到 私有 节点 数据 ,请 参考 后 续 排 查 思路 。 使 用 MIB Browser 采集 举例 如 下 。 

采集 设备 名 称 ( 公 有 ) : 1. 3.6.1.2.1.1.5, 如 图 7-2 所 示 。 

采集 上 线 AP 数量 (私有 ) : 1. 3. 6. 1. 4. 1. 2011. 10. 2. 75. 1. 1. 2. 1 ,如 图 7-3 所 示 。 


sess. SNMP QUERY STARTED === 
1: h3cDot11APConnectCount0 (integer) 1 
paa SNMP QUERY FINISHED == 


m SNMP QUERY STARTED ==% 
1: sysName.0 (octet string) AC2 
“x SNMP QUERY FINISHED 


图 7-2 采集 设备 名 称 图 7-3 采集 上 线 AP 数量 


(2) 检查 MIB-Style 

设备 MIB-Style 有 New 模式 和 Compatible 模式 ,无 线 设 备 常用 Compatible 模式 。 与 网 
管 确定 其 所 要 读 取 的 OID 节点 ,根据 OID 节点 判断 H3C 设备 应 该 使 用 哪 种 模式 。 例 如 网 管 
需要 读 取 的 是 : 1. 3. 6. 1. 4. 1. 25506. 2. 6. 1. 1. 1. 1.8, 则 H3C 设备 对 应 的 MIB-Style 为 New 
模式 ; 如 果 网 管 读 取 节点 为 : 1. 3. 6. 1. 4. 1. 2011. 10. 2. 6. 1. 1. 1. 1. 8, 则 H3C 设备 对 应 的 
MIB-Style 为 Compatible 模式 。 

命令 : display mib-sytle 

例如 : 通过 命令 查看 设备 当前 的 MIB-Style, 网 管 采集 节点 对 应 模式 与 设备 当前 模式 一 
致 ,才能 正常 采集 数据 。 
[AC]display mib-style 


Current MIB style:compatible 
Next reboot MIB style: compatible 


(3) OID 是 否 准 确 

通过 节点 名 称 或 者 OID 在 《无 线 产品 支持 MIB 清单 AC) 中 查找 满足 网 管 需求 的 节点 。 

(4) 是 否 AC 代理 节点 

了 解 当 前 组 网 情况 ,AC 十 IAG 组 网 情况 下 ,AC 可 以 代理 读 取 AG 数据 ,采集 节点 是 AC 
代理 节点 ,需要 配置 漫游 域 和 SNMP 代理 。 如 果 节 点 在 (无线 产品 支持 MIB 清单 AC》*AC- 
BAS 一 体 化 ” 表 中 , 则 节点 属于 代理 节点 。 

(5) 检查 漫游 域 和 SNMP 代理 

ACT+IAG 组 网 模式 下 ,采集 AC 代理 节点 数据 需要 配置 漫游 域 和 SNMP 代理 。 
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MS: display current-con figuration configuration | include simp 

display wlan mobility-group 
例如 : 通过 命令 查看 SNMP 代理 配置 以 及 AC 与 IAG 之 间 的 漫游 域 状态 如 下 。 
O 检查 设备 SNMP 代理 配置 。 


[AC]display current-configuration configuration | include snmp 

snmp-agent proxy ip 192.168.2.102 

snmp-agent 

snmp-agent local-engineid 800063A2033822D6D74AF1 

snmp-agent community read public 

snmp-agent community write private 

snmp-agent sys-info version v2c 

snmp-agent target-host trap address udp-domain 192.168.2.253 params securityname public v2c 


[AC]display wlan mobility-group 
Member Information 


IP Address : 192.168.2.102 
State : Run 
Interface : WLAN-Tunnel0 


Online Time (hh:mm:ss) : 00:07:32 


@ 查看 漫游 域 配置 。 


[AC] wlan mobility-group 1 


memberip 192.168.2.102 # 对 端 设备 互通 IP 
sourceip 192.168.2.100 井 本 端 设备 互通 IP 
mobility-group enable 井 使 能 漫游 域 


(6) 节点 开关 是 否 打开 

O 查询 节点 周期 控制 列表 。 采 集 部 分 节点 需要 配置 特定 的 统计 周期 ,采集 节点 与 统计 开 
关 的 对 应 关系 请 参考 (无 线 产 品 支持 MIB 清单 AC) 中 周期 控制 列表 。 

例如 : AP 接收 平均 信号 强度 (1. 3. 6. 1. 4. 1. 2011. 10. 2. 75. 2. 1. 3. 1. 19) ,采集 数据 需要 
配置 采集 周期 如 下 。 

hwSysStatisticPeriod(1. 3. 6. 1. 4. 1. 2011. 10. 6. 11. 1) 

hwSysSamplePeriod(1. 3. 6. 1. 4. 1. 2011. 10. 6. 11. 2) 

如 果 未 配置 采集 周期 ,采集 的 数据 是 固定 数值 一 一 120。 


***** SNMP QUERY STARTED **=*** 

1: h3cDot11AvgRxSignalStrength.20.50.49.57.56.48.49.65.48.68.49.67.49.50.51.48.50.51.55. 
48.51.1 (integer) 0 

2: h3cDot11AvgRxSignalStrength.20.50.49.57.56.48.49.65.48.68.49.67.49.50.51.48.50.51.55. 
48.51.2 (integer) —120 

***** SNMP QUERY FINISHED ***** 
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配置 采集 周期 后 ,采集 数值 随 着 采集 周期 变化 ,本 次 采集 数值 一 一 57。 


***** SNMP QUERY STARTED ***** 

1: h3cDot11AvgRxSignalStrength.20.50.49.57.56.48.49.65.48.68.49.67.49.50.51.48.50.51.55. 
48.51.1 (integer) 0 

2: h3cDot11AvgRxSignalStrength.20.50.49.57.56.48.49.65.48.68.49.67.49.50.51.48.50.51.55. 
48.51.2 (integer) —57 

***** SNMP QUERY FINISHED ***** 


@ 配置 采集 周期 。 通 过 网 管 配置 采集 周期 ,等 待 一 个 统计 周期 后 ,网 管 可 以 采集 相关 节 
点 数据 。 

例如 :, 节点 AP 接收 平均 信号 强度 (1. 3. 6. 1. 4. 1. 2011. 10. 2. 75. 2. 1. 3. 1. 19) ,需要 配置 
统计 周期 和 采集 周期 ,通过 网 管 set 操作 配置 。 


***x** SNMP SET-RESPONSE START ***** 
1: hwSysStatisticPeriod. 0 (integer) 9 

*xxx* SNMP SET-RESPONSE END ***** 
***** SNMP SET-RESPONSE START ***** 
1: hwSysSamplePeriod.0 (integer) 3 

***** SNMP SET-RESPONSE END ***** 


(7) 排查 AC 与 网 管 路 由 

此 步骤 可 以 通过 网 管 ping AC。 检 查 AC 与 网 管 之 间 的 链 路 情况 ,注意 链 路 要 支持 MTU 
1500, 

fh. ping -s 1472 -f x.x. x.x 


例如 : ping 1472 字 节 包 (MTU 1500) ,强制 不 分 片 ,检测 网 管 到 AC 链 路 。 


<AC> ping -s 1472 -f 192.168.2.253 
PING 117.130.195.46:1472 data bytes, press CTRL_C to break 
Reply from192.168.2.253: bytes=1472 Sequence=1 ttl=21 time=20 ms 
Reply from192.168.2.253: bytes=1472 Sequence=2 ttl=21 time=20 ms 
Reply from192.168.2.253: bytes=1472 Sequence=3 ttl=21 time=20 ms 
Reply from192.168.2.253: bytes=1472 Sequence=4 ttl=21 time=20 ms 


(8) 检查 SNMP 配置 

SNMP V2/V3 版 本 对 网 管 有 认证 要 求 ,设备 使 用 ACL 配合 SNMP 协议 可 以 实现 接 入 权 
限 控制 。 

O SNMP 接 入 认证 。 

fh. display current-con figuration con figuration | include simp 


例如 : 通过 命令 查看 设备 SNMP 读 写 团体 名 以 及 设备 当前 运行 的 SNMP 版 本 。 


[AC]display current-configuration configuration |include snmp 
snmp-agent proxy ip 192.168.2.102 

snmp-agent 

snmp-agent local-engineid 800063A2033822D6D74AF1 
snmp-agent community read public acl 2001 

snmp-agent community write private acl 2001 

snmp-agent sys-info version v2c 
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© 接 人 权限 控制 。 


MẸ: display acl zzzz 
例如 : SNMP 协议 结合 ACL 实现 网 段 控制 权限 ,查看 设备 配置 的 SNMP 接 入 权限 。 


[AC]display current-configuration configuration |include samp 
snmp-agent proxy ip 192. 168.2.102 
snmp-agent 
snmp-agent local-engineid 800063A2033822D6D74AF1 
snmp-agent community read public acl 2001 
snmp-agent community write private acl 2001 
snmp-agent sys-info version v2c 
[AC]display acl 2001 
BasicACL 2001, named mib_1, 1 rule, 
ACL's step is 5 


rule 1 permit source 192.168.2.103 0 


(9) 更 改 MIB-Style 

设备 支持 New 模式 和 Compatible 模式 ,通过 命令 可 以 切换 两 种 模式 ,如 果 更 改 设备 的 
MIB 模式 ,需要 重启 设备 生效 。 

命令 : mib-style compatible 


例如 : 设备 工作 在 New 模式 ,通过 命令 修改 ,重启 后 为 Compatible 模式 。 
[AC]mib-style ? 
compatible Compatible style MIB 


new New style MIB 
[AC] mib-style compatible 


(10) 收集 信息 


如 果 按 照 上 述 排查 步骤 不 能 解决 故障 ,请 收集 以 下 信息 反馈 给 H3C 售后 技术 人 员 处 理 。 
O 采集 有 问题 的 节点 OID。 


O 设备 配置 。 


< AC>4displaycurrent-configuration 
< AC>4display mib-style 


@ 调试 信息 ,收集 调试 信息 前 ,查看 当前 CPU 利用 率 和 内 存 利 用 率 , 并 反馈 技术 人 员 判 
断 是 否 可 以 收集 调试 信息 。 


<AC>œ debugging snmp agent packet send 
<AC>œ debugging snmp agent packet receive 
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07 无 线 产品 SSD Ue s 备份 


1. 开始 


AC-AP 隧道 备份 主要 以 瘦 AP 注册 AC 为 基础 ,故障 排查 方法 根据 是 否 热 备份 .快速 热 
备份 等 不 同 组 网 需求 而 略 有 差异 。 定 位 故障 的 思路 是 : 先 保证 AP 注册 Master AC, 青 确保 
AP 能 获取 正确 的 Backup AC 地 址 ,成 功 注册 Backup AC, 最 后 考虑 快速 热 备 ,心跳 等 。 

N+1 备份 按 冷 备份 方式 排查 。 另 外 ,本 流程 图 针对 AP 的 双 隧 道 备份 问题 ,不 涉及 
Portal、802. 1x 认证 等 业务 备份 。 

2. 流程 图 相关 操作 说 明 

(1) AP 注册 到 Master AC 

无 线 AC 的 Master or Backup 是 以 AP 为 参照 对 象 定义 的 , 即 某 一 台 AC 可 能 属于 API 
的 主 用 控制 器 ,又 可 能 同时 属于 AP2 的 备份 控制 器 。 一 般 的 ,配置 某 AP 的 注册 优先 级 为 7 
的 AC 为 该 AP 的 主 用 控制 器 。AP 成 功 注册 Master AC 是 备份 排查 第 一 步 。 

检查 AP 在 Master AC 上 的 注册 状态 如 下 。 

命令 : display wlan ap all 

例如 : State 为 “1” 表示 AP RER; State 为 *“R/M”*R/B” 表 示 已 上 线 , 分 别 为 主 、 备 隧道 。 


<H3C>display wlan ap all 
State :I = Idle, J = Join, JA = JoinAck, IL = ImageLoad 
C = Config, R = Run, KU = KeyUpdate, KC = KeyCfm 


AP Name State Model Serial-ID 

fz_dgl_001 I WA1208E-GP 210235A0A9C094001953 
fz_dgl_002 R/M WA1208E-GP 210235A0A9C094001529 
fz_dgl_003 R/B WA2100 210235A22WB093001434 


(2) 排查 注册 问题 

# AP 无 法 注册 Master AC, 则 按 云图 一 一 ( 瘦 AP 注册 不 上 问题 排 错 ) 标 准 流程 图 处 理 。 

(3) 是 否 热 备份 组 网 

根据 用 户 实际 组 网 情况 确定 AC 备份 方式 , 即 冷 备份 还 是 热 备份 。 

对 于 冷 备份 情况 下 ,AP 在 正常 情况 下 只 与 Master AC 建立 主 CAPWAP 隧道 ,只 有 当主 
隧道 断 开 后 , 才 向 Backup AC 发 起 注册 请 求 , 建 立 备 CAPWAP 隧道 。 对 于 热 备份 情况 , AP 
会 同时 与 Master AC 和 Backup AC 建立 CAPWAP 隧道 ,但 业务 数据 只 转发 到 Master AC。 

(4) 确保 AP 通过 DHCP Option 43 获取 正确 的 Backup AC 地 址 

冷 备 情况 下 ,AP 一 般 通 过 DHCP Option 43 获取 Backup AC 地 址 ,请 检查 DHCP Server 
Option 43 配置 。 


命令 : display dhcp server tree all 


<H3C>display dhcp server tree all 
Global pool: 


Pool name: 1 
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network192.168.86.0 mask 255.255.255.0 
Sibling node:2 
gateway-list 10.21.101.1 
option 43 hex 800B0000 020A1564 030A1564 07 
expired 10 0 0 


附 Option 43 格式 简要 说 明 如 图 7-4 所 示 。 


80 0B 00 00 02 0A 15 64 03 0A 15 64 07 
80: 固定 值 ,不 用 改变 ; 

0B: 长 度 字段 ,其 后 面 所 跟 数 据 的 字 节 长 度 ; 

00 00: 固定 值 ,不 用 改变 ; 

02: 表示 后 面 的 IP 地 址 的 个 数 ,此 处 为 二 个 IP 地址; 

OA 15 64 03: 十 六 进 制 转 十 进 制 为 IP 地 址 一 10.21.100.3 
OA 15 64 07: 十 六 进 制 转 十 进 制 为 IP 地址 二 10.21.100.7 


图 7-4 Option 43 格式 简要 说 明 


注意 : 当 修改 DHCP Server 配置 后 ,需要 让 AP 重新 获取 地 址 ,新 配置 才能 生效 。 

(5) Backup AC 能 ping 通 AP 

在 备份 AC 上 指定 源 地 址 (Option 43 指定 的 接口 地 址 )ping AP 来 测试 。 需 要 注意 的 是 ， 
CAPWAP 隧道 对 AP-AC 之 间 的 链 路 丢 包 比较 敏感 ,要 求 有 线 丢 包 率 小 于 0. 1%。 同 时 链 路 
要 支持 MTU 1500。 

命令 : ping-a xX... (AC 注册 地 址 ) -s 1472 -f x.x. x.x AP 地 址 ) 

例如 : ping 1472 字 节 包 (MTU 1500) ,强制 不 分 片 ,检测 AP-AC 链 路 。 


< AC-Backup> ping -a 10.21.100.7 -s 1472 -f 192.168.86.46 
PING192.168.86.46: 1472 data bytes, press CTRL_C to break 
Reply from192.168.86.46: bytes=1472 Sequence=1 ttl=21 time=20 ms 
Reply from192.168.86.46: bytes=1472 Sequence=2 ttl=21 time=20 ms 
Reply from192.168.86.46: bytes=1472 Sequence=3 ttl=21 time=20 ms 
Reply from192.168.86.46: bytes=1472 Sequence=4 ttl=21 time=20 ms 


如 果 AP 到 Backup AC 无 法 ping 通 , 则 需要 排查 网 络 连通 性 。 
(6) 检查 Backup AC 版 本 、AP 模板 配置 License 

D 检查 主 、 备 AC 软件 版 本 是 否 一 致 。 

MS: _display version 


Backup-AC> _display version 

H3C Comware Platform Software 

Comware Software, Version 5.20, Release 2308P10 

Comware Platform Software VersionCOMWAREV500R002B96D323SP01 
EWPX2WCMDO0 Software Version V200R003B96D023SP01 

Copyright (c) 2004-2012 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 
Compiled Aug 31 2012 16:04:14, RELEASE SOFTWARE 

EWPX2WCMDO0 uptime is 16 weeks, 6 days, 14 hours, 4 minutes 


© 查看 AP 模板 配置 。 
命令 : display current-con figuration 


例如 : 检查 AP 型 号 .序列 号 配置 ,确保 跟 AP 的 实际 序列 号 一 致 。 
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< AC-Backup> display current-configuration 
# 

wlan apfz_dgl_001 model WA1208E-GP id 76 
priority level4 
serial-id210235A0A9C094001953 

radio 1 


另外 ,如 果 AP 通过 MAC 地 址 信息 注册 AC, 此 时 需要 确保 AP MAC 地 址 信息 正确 。 


< AC-Backup> display current-configuration 
# 
wlan apfz_dgl_001 model WA1208E-GP id 76 
priority level4 
serial-id0023-8999-fec0 
radio 1 


© 检查 Backup AC License。 查 看 备 AC License, 对 比 备 AC 上 AP 注册 数目 ,确定 是 否 
需要 License 扩容 。 

第 一 ,检查 备 AC License 所 支持 的 AP 注册 数量 。 

命令 : display license ap 


<AC>4isplay license ap 
No. Serial number AP Number Available Time Left 
1 ZrxbR-5nHmt- $ C& tn-acm55-q &qSN-D+ :K3-b9EFH 128 Forever 
2 yb@Cc-LNw4c-dYGr9-hxe $ r-kr/k4-Cj3s3-@ /hcq 128 Forever 
3 uc$tS-wJk3q-rKrc+- $ Eq9n-F6inS-+ U5 &z-2K4gg 128 Forever 
计算 公 


AC 支持 的 AP 注册 数量 = 该 型 号 AC 默认 规格 + 2 每 条 License # K 
注意 : 当 AC 添加 License 后 ,需要 重启 AC, 该 License 才能 生效 。 
第 二 ,检查 备 AC 当前 已 经 注册 的 AP 数量 。 
MS: display wlan ap all 


<AC> display wlan ap all 
Total Number of APs configured : 729 
Total Number of configured APs connected : 613 
Total Number of auto APs connected :0 
计算 公式 ， 


AP 当前 注册 数量 — “Total Number of configured APs connected” 
十 “Total Number of auto APs connected” 

第 三 ,对 比 确认 是 否 需 要 对 License 扩容 。 

比较 “AC 支持 的 AP 注册 数量 ”和 “AP 当前 注册 数量 ”, 如 果 二 者 相等 , 则 说 明 备 AC 
License 达到 允许 注册 的 AP 数 上 限 ,AC 需要 License 扩容 。 

(7) 确保 AC 配置 正确 的 WLAN Backup-AC 地 址 

热 备 情况 下 , AP 只 能 通过 Master AC 的 配置 信息 获取 Backup AC 地 址 。AC 配置 
Backup-AC 地 址 有 两 种 方式 。 
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O 全 局 指定 。 


<H3C> displaycurrent-configuration 
wlan backup-ac ip 10.21.100.7 


@ 在 AP 模 板 下 指定 。 


<H3C> displaycurrent-configuration 


wlan apfz_dgl_001 model WA1208E-GP id 76 
priority level 7 
serial-id210235A0A9C094001953 
backup-ac ip 10.21.100.7 
radio 1 


第 二 配置 方式 优先 级 高 。 

注意 : & AC 上 同样 需要 配置 Backup-AC IP 为 主 AC 的 CAPWAP 隧道 接口 地 址 。 
(8) 检查 AP 是 否 注册 到 Backup AC 

热 备 情况 下 , 当 AP 获取 了 Backup AC 地 址 后 ,就 会 向 Backup AC 发 起 注册 请 求 。 
检查 瘦 AP 在 备 AC 注册 状态 如 下 。 

MA: display wlan ap all 

例如 : State 为 “了 "表示 AP RER; State H“R/M”“R/B' RRE ER. DIAE AAN. 


<H3C>display wlan ap all 
State :I = Idle, J = Join, JA = JoinAck, IL = ImageLoad 
C = Config, R = Run, KU = KeyUpdate, KC = KeyCfm 


AP Name State Model Serial-ID 

fz_dgl_001 I WA1208E-GP 210235A0A9C094001953 
fz_dgl_002 R/M WA1208E-GP 210235A0A9C094001529 
fz_dgl_003 R/B WA2100 210235A22WB093001434 


(9) 排查 注册 问题 

若 仍 无 法 注册 Backup AC, 按 云图 ( 瘦 AP 注册 不 上 问题 排 错 ) 标 准 流程 图 处 理 。 

(10) 是 否 快速 热 备份 组 网 

根据 用 户 实际 组 网 情况 确定 AC 热 备份 方式 ,是 普通 热 备份 还 是 快速 热 备份 。 

快速 热 备份 中 “快速 "是 相对 于 AP 主 、 备 切换 的 快慢 而 言 的 。 普 通 热 备 中 ,AP 通过 AP- 
AC 间 心 跳 机 制 维持 CAPWAP 隧道 (10s 一 次 心跳 ,3 次 超时 判断 隧道 断 开 ) , 当 AP 检测 到 主 
隧道 断 开 时 ,数据 转发 才 开始 切换 到 备份 隧道 ,这 个 切换 时 延 需 要 大 约 30s。 

快速 热 备 中 ,Master AC, Backup AC 之 间 通 过 热 备 心跳 机 制 确保 对 方 工作 正常 (参数 可 
调 ,默认 2s 一 次 心跳 ,3 次 超时 判断 对 方 AC 不 可 用 ), 当 Backup AC 检测 到 Master AC 不 可 
用 时 ,会 立刻 通知 AP 切换 CAPWAP 隧道 ,切换 时 延 可 以 达到 毫秒 级 。 

(11) 问题 解决 

当 AP 能 成 功 注册 Backup AC, 且 组 网 不 要 求 快速 热 备份 , 则 问题 已 经 解决 完成 。 

(12) 检查 主 备 AC 心跳 VLAN 是 否 互通 .配置 是 否 同步 

快速 热 备 情况 下 ,首先 需要 保证 主 备 AC 在 心跳 VLAN 内 二 层 互通 。 其 次 需要 保证 主 、 
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备 AC 配置 同步 ,比如 指定 相同 的 心跳 参数 ,配置 相同 的 WLAN rrm 参数 ,AP 射频 下 绑 定 相 
同 的 服务 模板 。 

O 心跳 VLAN 互通 性 测试 方法 。 可 以 通过 在 AC 起 三 层 接口 ping 包 来 测试 热 备 心跳 链 
路 质量 ,保证 无 丢 包 和 超过 1s 的 延迟 抖动 。 

@ 检查 主 备 AC 配置 是 否 同 步 。 


< AC>4display current-configuration 
# 
hot-backup enable domain 1 
hot-backup vlan 4002 
hot-backup hellointerval2000 
# 


< AC-Backup> display current-configuration 
# 

hot-backup enable domain 1 

hot-backup vlan 4002 

hot-backup hellointerval2000 

# 


O 查看 热 备 是 否 生效 。AC 的 快速 热 备份 是 否 生 效 可 以 通过 命令 行 来 查看 。 
MS: display hot-backup state (系统 模式 下 ) 
例如 : EE AC 上 查看 热 备 状态 。 


[AC]display hot-backup state 


E JE JE JE DE E JE JE JE E JE JE JE JE FE FE JEJE E FE FE FE IE IE JE FE E JE JE FE E JE JE JE FE JE JE JE JE IE E JE FE JE E JE JE JE JE JE JE JE IE JE JE JE E E IE JE FE ME JE JE FE FE JE FE FE 


Vlan ID E9 

Domain ID E 

Link State : Connect 

Peer Board MAC : 3822-d626-da14 
Peer Board State : Normal 

Hello Interval : 150 


[AC-Backup] display hot-backup state 


E E IE IE DE E IE IE FE E IE JE FE E IE JE JE FE E FE FE JE IE IE FE FE IE E IE IE E FE FE FE FE FE FE IE FE FE E IE IE FE E IE JE JE FE IE JE JE IE FE AE IE IE E FE FE E E FE M E E E E F 


Vlan ID 19. 

Domain ID pii 

Link State : Connect 

Peer Board MAC : 3822-d626-da23 
Peer Board State : Normal 


Hello Interval : 150 
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减 小 geacmn 
发 送 间 隐 


拨打 热线 
400-310-0504 4 # > # E 
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1. 开始 


在 无 线 组 播 应 用 中 ,无 线 设备 包括 AC 仅 做 本 地 的 二 层 组 播 转发 ,本 身 并 不 支持 组 播 路 由 。 

所 以 定位 故障 的 思路 是 : 先 确 保 AC 上 联 有 线 网 络 组 播 路 由 互通 ,再 排查 AC 的 无 线 二 层 
组 播 并 做 相应 的 优化 。 

2. 流程 图 相关 操作 说 明 

(1) 测试 单 播 通信 正常 

确保 客户 端 到 服务 器 单 播 路 由 可 达 , 如 图 7-5 所 示 , 这 是 组 播 处 理 的 前 提 。 


命令 : ping-l 1500 x.x. x.x 


国 EA: C\Windows\system32\cmd.exe š © Wn 


本 6.1.7600] 


ng -1 1508 10.202.164.18 


ng 10.202.164.18 1508 


图 7-5 客户 端 到 服务 器 单 播 路 由 


如 果 单 播 不 通 ,请 排查 组 播客 户 端 到 组 播 服 务 器 单 播 路 由 。 

(2) 测试 有 线 组 播 正 常 

本 步骤 确定 AC 上 行 有 线 网 络 组 播 路 由 互通 。 

测试 方法 : 可 以 通过 有 线 网 络 组 播 业 务 验证 来 测试 组 播 路 由 互通 性 , 即 组 播客 户 端 直 连 
HER ,替代 AC 位 置 测试 有 线 组 播 应 用 。 

说 明 : AC 仅 支持 二 层 的 组 播 转 发 ,有 线 组 播 互通 是 无 线 组 播 处 理 的 前 提 。 

(3) 排查 有 线 组 播 路 由 

如 有 线 组 播 业务 不 通 , 需 排查 有 线 组 播 路 由 或 者 组 播 服务 器 、 客 户 端 设置 。 

伶 查 IGMP 查询 器 配置 : 由 于 AC 不 支持 组 播 路 由 ,因此 必须 有 其 他 三 层 设备 将 组 播 数 
据 引 入 本 地 网 ,这 就 是 IGMP 查询 器 Router。 
三 层 交 换 机 上 配置 IGMP 查询 器 举例 如 下 。 


< H3C-SW>-4isplay current-configuration 
# 
multicast routing-enable // 使 能 组 播 路 由 
# 
interface Vlan-interface2 
ip address 192.168.2.101 255.255.255.0 
IGMP enable 
IGMP version2 
pim sm 


// 组 播 业 务 vlan 使 能 IGMP 必须 同时 使 能 pim 
# 
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(4) 无 线 组 播 正常 

无 线 组 播客 户 端 接 入 无 线 网 络 后 访问 组 播 服 务 器 资源 。AC 上 查看 组 播 组 信息 应 该 能 看 
到 组 播 成 员 端 口 加 入 。 

MA: display IGMP-snooping group 


<H3C>display IGMP-snooping group 
Totall IP Group(s). 
Totall IP Source(s). 
Totall MAC Group(s). 


Port flags: D-Dynamic port, S-Static port, C-Copy port, P-PIM port 
Subvlan flags: R-Real VLAN, C-Copy VLAN 
Vlan(id) :2. 
Totall IP Group(s). 
Totall IP Source(s). 
Totall MAC Group(s). 
Router port(s) :total 1 port(s) . 
BAGG1 (D) 
IP group(s) :the following ip group(s) match to one mac group. 
IP group address:224.1.1.1 
(0.0.0.0, 224.1.1.1): 
Host port(s) :total 1 port(s). 
WLAN-DBSS2:2 (D) 
MAC group(s): 
MAC group address:0100-5e01-0101 
Host port(s) :total 1 port(s) . 
WLAN-DBSS2:2 


(5) 检查 AC IGMP-Snooping 配置 
AC 全 局 开启 IGMP-Snooping, 相 应 组 播 业 务 VLAN 使 能 IGMP-Snooping。 


< AC>display current-configuration 
# 
IGMP-snooping 
# 
vlan 2 
IGMP-snooping enable 
IGMP-snooping querier 
IGMP-snooping general-query source-ip current-interface 


# 


说 明 : 如 果 是 纯 二 层 组 播 应 用 , 即 组 播 服务 器 和 组 播客 户 端 同 处 二 层 网 。AC 还 需要 承担 
查询 器 角色 。 可 以 在 AC 设备 上 使 能 IGMP-Snooping 查询 器 ,使 AC 能 够 在 二 层 网 络 建立 并 
维护 组 播 转 发 表 项 ,从 而 正常 转发 组 播 数 据 。 


< AC>4isplay current-configuration 
# 
IGMP-snooping 
# 
vlan 2 
IGMP-snooping enable 
IGMP-snooping querier 
IGMP-snooping general-query source-ip current-interface 


# 
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(6) 无 线 组 播 效 能 优化 

当 组 播 业务 数据 基本 可 用 后 ,下 一 步 需 要 优化 无 线 组 播 应 用 ,以 提升 无 线 空 口 对 组 播 的 承 
载 容量 和 终端 体验 。 

一 般 情况 下 ,无 线 组 播 的 优化 以 常规 的 无 线 网 络 优化 为 基础 ,比如 合理 的 信号 部 署 ,控制 
每 个 AP 的 用 户 数量 ,二 层 隔 离 等 。 无 线 网 络 优化 是 一 套 系统 工程 ,有 H3C 专业 团队 提供 支 
撑 , 如 有 WLAN 网 络 专业 优化 服务 的 需求 ,请 咨询 H3C 官方 网 站 。 

以 下 步骤 对 组 播 优化 的 专用 手段 做 介绍 。 

(7) 使 用 组 播 VLAN 

当 一 个 AP 上 连接 的 无 线 客户 端 可 能 位 于 多 个 VLAN 的 时 候 ,而 且 这 些 客户 端 都 在 使 用 
相同 的 组 播 组 应 用 时 ,可 以 使 用 组 播 VLAN 特性 ,目的 是 让 组 播 数据 只 在 组 播 VLAN 内 发 
送 , 防 止 同 一 份 组 播 数据 在 无 线 空 口 被 发 送 多 次 ,影响 空 口 性 能 。 


<AC> display current-configuration 
multicast-vlan 30 // 组 播 VLAN 30 
# 


interface WLAN-ESS4 

port link-type hybrid // 必 须 为 hybrid 接口 

port hybrid vlan 1 to 3 30 untagged // 组 播 VLAN 30 必须 被 接口 允许 
mac-vlan enable 

port multicast-vlan 30 // 接 口 增加 到 组 播 VLAN 中 

# 


(8) 关闭 无 线 低速 率 

对 于 llg 的 网 络 可 以 直接 将 1Mbps、2Mbps、5. 5Mbps, 6Mbps, 9Mbps 速率 禁用 ,对 于 
lla 的 网 络 可 以 直接 将 6Mbps、9Mbps 速率 禁用 ,这 样 整体 上 减少 广播 报 文 和 管理 报 文 对 空 口 
资源 的 占用 。 

在 WLAN rrm 视图 使 用 Disabled-Rate 命令 关闭 1Mbps, 2Mbps, 5. 5Mbps, 6Mbps, 
9Mbps 速率 。 


< AC>4display current-configuration 


wlan rrm 
dotlla mandatory-rate 12 24 
dotlla supported-rate 18 36 48 54 
dotlla disabled-rate 6 9 
dot11b mandatory-rate 1 2 
dot11b supported-rate 5.5 11 
dotllg mandatory-rate 11 
dotllg supported-rate 12 18 24 36 48 54 
dotllg disabled-rate 1 2 5.5 6 9 


(9) 强制 指定 组 播 速率 

该 特性 可 以 强制 设置 llg、11a、1ln 模式 情况 下 ,AP 发 送 组 播 或 者 广播 报 文 使 用 的 发 
送 速 率 , 如 图 7-6 所 示 。 一 般 情况 下 组 播 和 广播 报 文采 用 AP、STA 协商 的 最 低速 率 发 送 ， 
通过 该 功能 可 以 调整 组 播报 文 的 发 送 速率 ,改善 整个 WLAN 网 络 的 性 能 ,并 在 一 定 程度 上 
提高 组 播 应 用 的 效果 ,特别 是 在 进行 组 播 测试 时 ,可 以 按 环境 情况 ,强制 组 播报 文 以 一 个 较 
高 的 调制 速率 发 送 。 
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器。 基本 MCS 集 最 大 案 引 C Jo-® 
支持 MCS 集 最 大 索引 Ta 《0 一 75， 缺 省 值 一 76) 
星 号 (*) 为 必须 填写 项 
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tres AE 


图 7-6 组 播 速率 设置 


(10) 减 小 Beacon 发 送 间 隔 
组 播 数据 是 在 Beacon 帧 后 传送 的 , 减 小 Beacon 发 送 间 隔 有 利于 减少 组 播发 送 时 延 。 同 
时 ,该 操作 也 能 降低 节 电 模式 下 无 线 客户 端的 休眠 时 间 ,提升 使 用 效果 。 


< AC>4isplay current-configuration 


# 

wlan radio-policy 1 
beacon-interval 60 
# 


wlan ap ap model WA2620 id 1 
serial-id 219801A0D1C123023703 
radio 1 
radio 2 

service-template 2 
radio-policy 1 
radio enable 


(11) 组 播 丢 包 优 化 

组 播 数 据 在 无 线 侧 发 送 时 没有 ACK 以 及 重 传 机 制 , 报 文 丢失 后 没有 补救 措施 。 为 了 解 
决 组 播 丢 包 问 题 ,可 以 开启 组 播 优 化 功能 ,使 得 AP 向 客户 端 发 送 组 播报 文 时 ,将 组 播 数据 转 
为 单 播发 送 , 借 用 单 播 ACK 重 传 机 制 ,降低 丢 帧 风险 。 但 使 用 组 播 转 单 播发 送 后 ,业务 数据 
会 在 无 线 侧 被 发 送 多 次 (给 多 个 客户 端 ) ,可 能 造成 空 口 利 用 率 升 高 ,请 权衡 使 用 。 


< AC>4display current-configuration 


wlan service-template 3 crypto 
ssid H3C-roam 
bind WLAN-ESS 3 
cipher-suite ccmp 
security-ie rsn 
multicast optimization enable 
service-template enable 
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1. 开始 
PSK(Pre-Shared Key, 预 共享 密 钥 ) 认 证 需要 有 无 线 客户 端 和 设备 端 配置 相同 的 预 共 享 


密 钥 ,如 果 密 钥 相 同 ,PSK 接 入 认证 成 功 ; 如 果 密 钥 不 同 ,PSK 接 人 认证 失败 。 


2. 流程 图 相关 操作 说 明 


(1) 连接 SSID 是 否 弹出 密码 输入 框 
车 正确 配置 了 PSK 认证 ,终端 连接 SSID 会 弹出 密码 输入 框 ,图 7-7 和 图 7-8 所 示 分 别 为 


Windows 7 和 IOS 的 终端 密 钥 输入 页 面 。 


seese 中 国电 信守 17:46 57% m 
请 输入 "123" 的 密码 
取消 输入 密码 加 入 
密码 | 


Alsiplriolny ki 
J zixic vle nim C 
| == | 


7-8 IOS 的 终端 密 钥 输入 页 面 


图 7-7 Windows 7 的 终端 密 钥 输入 页 面 


(2) 检查 PSK 配置 
检查 全 局 端口 安全 是 否 开启 ,终端 关联 SSID 对 应 ESS 接口 的 PSK 配置 : 端口 安全 模式 


为 PSK {ERE 11key 类 型 的 密 钥 协商 功能 并 设置 密 钥 。 


[AC]display current-configuration 


# 

port-security enable // 全 局 使 能 端口 安全 

# 

wlan service-template 1 crypto // 服 务 模板 下 SSID 与 ESS 接口 对 应 
ssid 123 


bind WLAN-ESS 1 
cipher-suite tkip 
security-ie rsn 
service-template enable 
# 

# 
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interface WLAN-ESS1 
port access vlan 2 
port-security port-mode psk // 使 能 端口 安全 模式 为 PSK 
port-security tx-key-type 11key // 使 能 11key 类 型 的 密 钥 协商 功能 


port-security preshared-key pass-phrase cipher $ c $3 $ SHcJ950t8GUuMW7zb96175 91wDNjtFzbJ43 
// 设 置 密 钥 
# 


(3) 测试 明文 关联 

创建 一 个 非 业务 VLAN 的 明文 测试 SSID ,检查 明 文 关 联 是 否 有 问题 ,可 参考 无线 终端 
关联 失败 故障 排查 云图 》。 

(4) 密 钥 是 否 一 致 

PSK 接 入 用 户 必须 使 用 设备 上 预先 配置 的 静态 密 钥 , 即 PSK(Pre-Shared Key, 预 共享 密 
钥 ) 与 设备 进行 协商 ,协商 成 功 后 可 访问 端口 ; 终端 在 密 钥 输 入 页 面 输入 密 钥 后 ,车 提示 密 钥 


不 正确 , 则 无 法 接 入 无 线 服务 ,图 7-9、 图 7-10 所 示 分 别 为 Windows 7 和 IOS 的 终端 密 钥 输 入 
错误 显示 。 


cocco 中 国电 信 3G — 14:51 © 48% 三 下 
无 法 加 入 "123” 
取消 输入 密码 加 入 
密码 woveeoee 
“123" 
的 密码 不 正确 


关闭 


alwlslplrlyluUolP 
Alsjplrlelnlujkl 
2 x c v p N M 


Windows 无 法 连接 到 123 


7-9 Windows 7 的 终端 密 钥 输入 错误 显示 图 7-10 IOS 的 终端 密 钥 输入 错误 显示 


(5) EHHA 
重新 配置 预 共享 密 钥 如 下 。 


[AC-WLAN-ESS2] port-security preshared-key ? 
pass-phrase Specify port preshare phrase key // 以 字符 串 方 式 设置 预 共享 密 钥 
raw-key Specify port preshare raw key // 以 十 六 进 制 方式 设置 预 共 享 密 钥 
[AC-WLAN-ESS2]port-security preshared-key pass-phrase 12345678 
cipher: 以 密 文 方式 设置 密 钥 。 
simple: 以 明文 方式 设置 密 钥 。 
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以 明文 或 密 文 方式 设置 的 共享 密 钥 , 均 以 密 文 的 方式 保存 在 配置 文件 中 。 设 置 的 明文 密 
钥 或 密 文 密 钥 ,区 分 大 小 写 。 明 文 密 钥 为 8 一 63 个 字符 的 字符 串 或 者 长 度 为 64 位 的 合法 十 六 
进 制 数 ; 密 文 密 钥 为 8 一 117 个 字符 的 字符 串 。 不 指定 cipher 或 simple 时 ,表示 以 明文 方式 
设置 共享 密 钥 。 
(6) 收集 diag .debugging 信息 
收集 AC 诊断 信息 和 debugging 信息 。 
说 明 : 开启 debug 之 前 ,请 检查 CPU 和 内 存 的 使 用 情况 ,确保 开启 debu 不 会 影响 设备 
的 正常 运行 。 收 集 完 信息 后 请 及 时 关闭 debug。 
O 当 AC 在 线 用 户 数 少 于 或 等 于 3000 时 ,建议 用 下 面 的 命令 收集 信息 并 使 用 调试 开关 
进行 调试 ,尽量 避免 Console 口 和 无 线 登录 AC, 信 息 可 能 会 打印 不 全 ,优选 有 线 Telnet, 
命令 : debugging wlan mac all 
debugging port-security all 
debugging dotlxall 
terminal monitor 
terminal debugging 
© 当 AC 在 线 用 户 数 超过 3000 时 ,建议 等 业务 闲 时 关联 用 户 数 下 降 到 3000 以 下 ,再 执 
行 上 述 操 作 , 收 集 完 信息 后 请 关闭 debug。 


07 无 线 产品 


---y 志 示 上 一 步 结果 出 现 问 题 


女 


Higa 
上 的 w 配 置 


HS dient 
# #-Acja| Portal 
AEA 


HEBA 


22 检查 业务 VLAN 接口 的 
+, 2% Ac CAPWAP Portal 鹤 证 与 


备份 故障 排查 备份 组 配置 


Hr Brasiko 
deviceid 配 置 


拨打 热线 
400-910-0504- 
EDES 详细 配置 信息 


收集 debug 信 息 、 


742 根 叔 的 云图 一 一 网 络 故障 大 排查 


1. 开始 

无 线 AC Portal 热 备份 即 无 线 终端 进行 Portal 认证 通过 后 ,当主 AC Down 掉 后 ,Client 
切 到 备份 AC 后 ,Client 用 户 无 须 再 次 进行 Portal 认证 ,仍然 可 以 访问 外 部 网 络 。 

定位 思路 是 : 首先 排查 故障 发 生 的 主 备 AC 的 Portal 认证 情况 ,然后 排查 主 备 AC 建立 
1 十 1 热 备份 情况 ,再 根据 具体 情况 排查 配置 细节 。 另 外 ,设备 上 的 debug 调试 信息 是 重要 的 
定位 手段 。 

2. 流程 图 相关 操作 说 明 

(1) Portal 热 备 建立 

无 线 AC Portal 热 备 建 立 可 以 通过 命令 进行 查看 Portal 用 户 是 否 建立 热 备份 。 

命令 : display portal user all 

例如 : 通过 命令 查看 Portal 认证 用 户 信息 ,可 以 看 到 用 户 名 和 终端 MAC 地 址 。 


< AC-Master> display portal user all 
Index:3 

State:ONLINE 

SubState: NONE 


ACL:NONE 
Work-mode: primary 
MAC IP Vlan Interface 
000d-88f8-0eac 21.1.1.3 2001 Vlan-interface10 


Total 1 user(s) matched, 1 listed. 


< AC-Backup>- display portal user all 
Index: 2 

State:ONLINE 

SubState: NONE 


ACL:NONE 
Work-mode: secondary 

MAC IP Vlan Interface 
000d-88f8-0eac 21:1.1.3 2001 Vlan-interface10 


Total 1 user(s) matched, 1 listed. 


(2) 排查 Client 5 F AC 间 Portal 认证 情况 

无 线 AC Portal 热 备 首先 需要 保证 Client 分 别 与 主 AC 和 备 AC 之 间 的 Portal 认证 正 
常 ,如 果 不 正常 ,请 参考 云图 (无 线 Portal 认证 故障 排查 》。 

(3) 排查 AC 建立 1 十 1 热 备 情况 

无 线 AC Portal 热 备 建立 需要 建立 AC 间 的 1 十 1 热 备 ,如 果 主 备 AC 间 无 法 建立 1 十 1 热 
备 , 请 参考 云图 (无 线 AC CAPWAP 备份 故障 排查 》。 

命令 : display hot-backup state 
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[AC-Master] display hot-backup state 


Vlan ID : 20 

Domain ID | 

Link State : Connect 

Peer Board MAC : 80f6-2ece-4cf8 
Peer Board State : Normal 

Hello Interval : 2000 


[AC-Backup]display hot-backup state 


Vlan ID : 20 

Domain ID pi 

Link State : Connect 

Peer Board MAC : 80f6-2ece-4cc8 
Peer Board State : Normal 

Hello Interval : 2000 


(4) 排查 DHBK 状态 
ER AC Portal 热 备 备份 的 信息 主要 为 Client 的 MAC + IP 信息 ,如 果 在 发 生 主 AC 
Down 后 , 备 AC 需要 保证 IP 地 址 和 主 AC IP 地 址 一 致 ,如 果 不 一 致 请 检查 配置 。 


< AC-Master> display current-configuration 
# 

dhbk enable backup-type symmetric-path 
dhbk vlan300 

# 


AC-Backup> display current-configuration 
# 

dhbk enable backup-type symmetric-path 
dhbk vlan300 

# 


(5) 检查 主 备 AC 上 的 VRRP 配置 
用 户 的 网 关 在 AC 上 ,需要 检查 网 关 建立 VRRP 的 情况 与 AP 管理 VLAN 的 VRRP 情况 。 


AC-Master> display current-configuration 
# 
interface Vlan-interface2001 // 用 户 业 务 vlan 
ip address21.1.1.1 255.255.255.0 
vrrp vrid 2 virtual-ip 21.1.1.254 
vrrp vrid 2 priority 200 
# 
# 
interface Vlan-interface2002 // AP 管理 vlan 
ip address 192.168.207.1 255.255.255.0 
vrrp vrid 1 virtual-ip 192.168.207.254 
vrrp vrid 1 priority 200 
# 
< AC-Backup display current-configuration 
# 
interface Vlan-interface2001 
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ip address21.1.1.2 255.255.255.0 
vrrp vrid 2 virtual-ip 21.1.1.254 
# 
# 
interface Vlan-interface2002 
ip address 192.168.207.2 255.255.255.0 
vrrp vrid 1 virtual-ip 192.168.207.254 
# 


(6) 检查 业务 VLAN 接口 的 Portal 认证 与 备份 组 配置 


无 线 AC Portal 热 备 认证 需要 保证 主 备 AC 上 无 线 业务 VLAN 上 认证 与 备份 配置 保持 
同步 ,这 样 才能 保证 Portal 热 备 同 步 。 


< AC-Master— display current-configuration 
# 
interface Vlan-interface2001 
portal server portal method direct 
portal domain portal 
portal backup-group 1 
portal nas-ip 192.168.207.161 
# 
< AC-Backup display current-configuration 
# 
interface Vlan-interface2001 
portal server portal method direct 
portal domain portal 
portal backup-group 1 
portal nas-ip 192.168.207.161 
# 


(7) 检查 NAS-IP 和 Device-ID 配置 
检查 主 备 AC NAS-IP 与 Device-ID 配置 。 


< AC-Master> display current-configuration 
# 

nas device-id 1 

radius nas-ip 192.168.202.16 

# 

< AC-Backup> display current-configuration 
# 

nas device-id2 

radius nas-ip 192.168.202.16 

# 


(8) 收集 debug 信息 ,详细 配置 信息 

如 果 上 述 步 骤 仍 无 法 最 终 解 决 问题 ,可 以 抓 取 设备 侧 详细 的 debug 信息 辅助 定位 。 开 启 
debug 前 检查 下 CPU 内 存 情况 ,反馈 二 线 确认 风险 后 实施 。 收 集 完 成 后 及 时 关闭 。 

建议 ,在 业务 低 峰 期 抓 debug。 业 务 高 峰 期 可 能 会 有 大 量 其 他 调试 或 者 日 志 信息 输出 , 导 
致 有 效 故 障 信息 打印 丢失 。 
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命令 : 


< AC-Master> debugging portal packet interface xxx 
< AC-Master> debugging portal tcp-cheat 

< AC-Master>œ debugging portal acl interface xxx 

< AC-Master> debugging radius packet 

< AC-Backup> debugging portal packet interface xxx 
< AC-Backup> debugging portal tcp-cheat 

< AC-Backup> debugging portal acl interface xxx 

< AC-Backup> debugging radius packet 


7.1.9 无 线 AC 硬 件 故障 排查 四 
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07 无 线 产品 O 7.1.9 无 线 AC 硬件 故障 排查 步骤 详解 


无 线 AC 硬件 故障 排查 ,首先 观察 能 否 正常 上 电 , 其 次 观察 指示 灯 是 否 正常 ,然后 登录 查 
看 是 否 正常 启动 ,最 后 通过 命令 行 排查 端口 及 设备 状态 。 

2. 流程 图 相关 操作 说 明 

(1) 是 否 正常 上 电 

观察 无 线 控制 器 是 否 正常 上 电 , 电 源 及 电源 线 是 否 正常 。 

一 般 情况 下 ,在 满足 设备 供电 环境 (电压 等 ) 下 ,如 出 现 无 线 控制 器 无 法 正常 上 电 , 在 排查 
接口 松动 等 外 在 因素 后 ,保持 原 供电 环境 并 使 用 新 电源 线 进行 替换 测试 , 即 可 确认 故障 。 

车 无线 控制 器 为 AC 板 卡 ,可 以 使 用 备用 机 框 进行 替换 测试 ,可 以 排查 是 否 是 机 框 问题 导 
致 无 法 正常 上 电 。 

(2) 指示 灯 是 否 正常 

观察 面板 呼吸 灯 和 接口 指示 灯 状 态 ,面板 呼吸 灯 和 接口 指示 灯 状 态 说 明 请 参考 各 型 号 
AC 的 安装 指导 ,确认 设备 加 电 后 ,指示 灯 未 正常 亮 起 则 多 为 硬件 故障 ,指示 灯 状 态 可 以 协助 
判断 当前 AC 工作 状态 , 若 故障 需要 进一步 定位 。 

(3) 是 否 正常 启动 

一 般 设 备 开 机 或 运行 过 程 重启 ,常见 为 下 面 两 种 情况 。 

O 找 不 到 启动 文件 或 启动 文件 异常 ,确认 启动 文件 本 身 是 否 正常 或 Flash 故障 导致 启动 
文件 异常 ,此 时 可 以 使 用 Ctrl 十 F 组 合 键 格式 化 Flash 后 重新 加 载 启动 文件 ,如 格式 化 过 程 报 
错 , 需 要 更 换 AC。 

@ BootWare 提示 CRC 错误 : 使 用 Ctrl 十 工 组 合 键 在 设备 开始 启动 时 测试 ,如 出 现 内 存 
Fail 则 内 存 故障 ,需要 更 换 AC. 

如 果 是 控制 器 框 式 设备 , 除 上 述 情况 外 若 主 控 无 法 正常 启动 ,需要 检查 下 面 两 种 情况 。 

O 同一 设备 两 块 主 控 板 要 求 为 同样 型 号 ,如 不 一 致 ,需要 更 换 解 决 。 

@ 同一 设备 两 块 主 控 板 要 求 使 用 同样 版 本 ,否则 会 反复 启动 。 

若 业 务 板 开 机 或 运行 中 重启 需要 检查 如 下 情况 。 

© 使 用 Display Logbuffer 查看 单 板 是 否 有 类 似 的 启动 记录 .如 Logbuffer HA Xt MRS 
单 板 的 加 载 记录 ,请 将 业务 板 更 换 到 其 他 能 正常 启动 业务 板 模 位 看 能 否 正常 启动 ,如 能 正常 启 
动 一 般 为 主 控 或 机 框 异 常 ,如果 更 换 槽 位 后 依然 没有 启动 记录 ,业务 板 故 障 可 能 性 最 大 。 
%May 3 13:27:17:086 2013 H3C DEVM/4/BOARD_LOADING: Board is loading file on Chassis 1 
Slot 7. 


%May 313:27:17:647 2013 H3C DEVM/5/LOAD_FINISHED: Board has finished loading file on 
Chassis 1 


@ 如 果 双 主 控 设 备 , 可 以 通过 主 备 倒 换 确认 是 否 业 务 板 在 同一 模 位 的 工作 状况 确认 是 否 
是 主 控 板 问题 , 主 备 倒 换 后 如 业务 板 卡 注册 正常 , 则 主 控 板 故障 可 能 最 大 。 

O 如 果 同 一 槽 位 更 换 过 主 控 , 业 务 板 卡 ,并 且 更 换 的 板 卡 也 确认 无 问题 ,可 以 确认 为 机 框 
问题 ,需要 更 换 机 框 解决 。 
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(4) 检查 启动 打印 信息 里 异常 记录 

设备 上 电 后 ,Console 接口 打印 启动 信息 是 否 存在 异常 。 在 确认 AC 启动 异常 后 ,在 许可 
的 操作 范围 内 , 先 尝试 进行 “三 板斧 "(重启 ,格式 化 、 重 新 导 版 本 ) 操 作 , 如 果 故 障 依旧 可 参照 本 
文 举例 问题 处 理 , 若 无 法 找到 相对 应 的 信息 ,请 收集 相关 信息 并 拨打 800 寻求 帮助 。 

设备 如 果 启 动 过 程 中 打印 如 下 信息 ( 仅 串口 能 打印 ): 设备 管理 框架 初始 化 失败 一 般 为 存 
储 标志 区 的 存储 器 件 故障 。 


Driver platform initialize error! Error code: 0x%⁄ xxxxxxxx 


(5) 环境 及 硬件 状态 检查 

D 环境 状况 检查 。 各 传感器 温度 应 处 于 低温 告警 门限 与 一 般 级 高 温 告警 门限 之 间 , 如 出 
现 异 常温 度 告 警 ,比如 一 10 度 、255 度 等 ,如 果 出 现 超出 门限 值 则 一 般 是 温度 传感器 硬件 故障 ， 
需要 更 换 AC. 

说 明 : WX3000 系列 不 支持 此 命令 。 


<H3C>display environment 
System Temperature information (degree centigrade) : 
SlotNo Temperature Lower limit Upper limit 
1 255 0 90 


@ 风扇 状况 检查 。 正 常 应 该 是 Normal, 出 现 Fault 一 般 为 故障 。 


< AC>4isplay fan 
Fan 1 State: Normal 
Fan 2 State: Normal 
Fan 3 State: Fault 


@ 电源 状况 检查 。 正 常 应 该 是 Normal. iH Bl Fault 或 双 电 源 未 显示 完全 一 般 为 故障 。 


< AC>4display power 
Power 1 State: Fault 


@ 设备 运行 状况 。 正 常 应 该 是 Normal, 出 现 Fault 一 般 为 故障 。 


<AC>4isplay device 


Slot No Board Type Status Max Ports 
0 WX3010ELSW Normal = 

r) WX3010ERPU Fault 2 

(6) 接口 检查 


设备 运行 后 ,检查 接口 的 状态 如 有 异常 ,一 般 可 以 通过 端口 自 检 、POE 检查 、 光 口 自 检 排 
查 出 大 部 分 的 问题 。 

O 端口 自 检 。 检 查 端口 协商 链 路 双 工 类 型 : 如 显示 某 个 端口 状态 为 half, 需 要 确认 是 否 
两 端 配 置 不 一 致 导致 。 


< AC>4display interface brief 

The brief information of interface(s) under route mode: 
Link: ADM - administratively down; Stby - standby 
Protocol: (s) - spoofing 


o x2 > x 749 
Interface Link Protocol Main IP Description 
NULLO Up Up(s) = 
Vlanl Up Up 192.168.1.254 
Vlan2 Up Up -= 


The brief information of interface(s) under bridge mode: 
Link: ADM - administratively down; Stby - standby 
Speed or Duplex: (a)/A - auto; H - half; F - full 
Type: A - access; T - trunk; H - hybrid 


Interface Link Speed Duplex Type PVID Description 

BAGG1 Up 2G(a) F(a) T 1 

GE1/0/1 Up 1G F oat 

GE1/0/2 Up 1G F Tort 

WLAN-ESS10 Up. == == AeA 

WLAN-DBSS10:0 Up. == == A 2 

检查 端口 流 控 状态 : 查看 配置 ,是 否 开 启 Flow Control 配置 ,如 果 该 端口 不 需要 开启 则 使 


用 Undo Flow Control 关闭 该 端口 的 流 控 。 


< H3C>4isplay current-configuration interface 
# 
interface GigabitEthernet1/0/1 

port link-type trunk 

port trunk permit vlan all 


flow-control 
检查 端口 收发 错误 报 文 状态 : 查看 端口 是 否 有 大 量 的 错误 报 文 , 若 排除 下 面 两 种 状况 外 
一 般 为 硬件 问题 。 


(a) 检查 线路 质量 ,检查 中 间 连 接 的 光电 转换 器 。 
(b) 两 端 配置 是 否 一 致 ” 是否 一 端 为 强制 而 对 端 为 协商 ? 


<H3C>display interface 
GigabitEthernet1/0/2 current state: Up 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 80f6-2e96-f0b2 
Description: GigabitEthernet1/0/2 Interface 
Loopback is not set 
Media type is twisted pair, promiscuous mode set 
1000Mbps-speed mode, full-duplex mode 
Link speed type is force link, link duplex type is force link 
Flow-control is not enabled 
The Maximum Frame Length is 4096 
Broadcast MAX-ratio: 100% 
Unicast MAX-ratio: 100% 
Multicast MAX-ratio: 100% 
Allow jumbo frame to pass 
PVID: 1 
Port link-type: trunk 
VLAN passing: 1(default vlan), 2 
VLAN permitted: 1(default vlan), 2-4094 
Trunk port encapsulation: IEEE 802. 1q 
Port priority: 0 
Last clearing of counters: 
Last 300 seconds input: 
Last 300 seconds output: 


Never 
0 packets/sec 48 bytes/sec 0% 
0 packets/sec 28 bytes/sec 0% 
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检查 端口 Up/Down 状态 : 如 发 现 端口 频繁 Up/Down, 若 排查 下 面 几 种 情况 外 ,一 般 为 
硬件 问题 。 

(a) 检查 线路 和 中 间 连 接 的 光电 转换 器 。 

(b) 千 兆 端口 检查 光 功 率 是 否 处 于 临界 值 。 

(c) 检查 两 端 配置 是 否 一 致 。 


< AC>4display logbuffer 

Logging buffer configuration and contents: enabled 
Allowed max buffer size : 1024 

Actual buffer size : 512 

Channel number : 4 , Channel name : logbuffer 
Dropped messages : 0 

Overwritten messages : 0 

Current messages : 57 


© POE 检查 。 检 查 POE 功能 状态 : 如 设备 本 身 是 支持 POE 的 设备 但 却 提示 “POE is 
not supported on the port” 则 说 明 POE 硬件 存在 问题 ,可 尝试 采用 冷 重启 的 方式 重新 复位 看 
能 否 恢复 ,如 不 能 恢复 则 可 判断 为 POE 硬件 故障 。 


[SW-GigabitEthernet1/0/1]display this 
# 
interface GigabitEthernet1/0/1 
port link-type trunk 
port trunk permit vlan all 
poe enable 
# 
Return 
[SWJinterface GigabitEthernet 1/0/1 
[SW-GigabitEthernet1/0/1]poe enable 


@ 光 口 自 检 。H3C 设备 与 其 他 厂商 设备 互 连 , 建 议 光 口 速 率 和 双 工 设置 要 完全 一 致 。 
使 用 display current interface 和 display interface 检查 光 口 状态 , 光 口 是 否 有 CRC 错误 ? 是 
否 在 增长 ?检查 光 功 率 是 否 处 于 临界 值 ? 可 以 先 通过 更 换 光 模块 .更 换 尾 纤 或 清洗 光 模 块 连 
接 器 的 方式 解决 。 如 未 能 解决 可 以 将 信息 及 Diag 搜集 后 反馈 800 或 二 线 。 


7.1.10 无 线 AC 静态 路 由 故障 排查 $ 


查看 是 百 
4HP E BFD BX NQA 
地 . 址 可 未 性 


Fir BBI NGA 
m KÓ. 配置 与 状态 
路 由 掉 码 长 及 


拨打 热线 
400-310-0504 
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07 无 线 产品 D 7.1.10 无 线 AC 静态 路 由 故障 排查 步骤 详解 


1. 开始 


静态 路 由 是 一 种 无 线 设 备 上 常见 的 路 由 协议 ,由 管理 员 手 工 配置 。 当 网 络 发 生 故障 或 者 
拓扑 发 生变 化 后 ,静态 路 由 不 能 自动 适应 网 络 ,必须 由 网 络 管理 员 手 工 修改 配置 。 

静态 路 由 是 否 能 够 加 入 到 全 局 路 由 表 中 并 成 功 指导 报 文 正确 转发 ,取决 于 其 出 接口 状态 
与 下 一 跳 可 达 性 ,在 高 端 无 线 控制 器 上 还 涉及 检测 联动 的 状态 等 方面 。 因 此 无 线 控制 器 静态 
路 由 定位 故障 的 思路 是 :首先 查看 全 局 路 由 表 中 是 否 存在 该 静态 路 由 ; 然后 据 此 相应 地 检查 
出 接口 状态 、 下 一 跳 地 址 可 达 性 .BFD 或 NQA 配置 .路 由 优先 级 等 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 全 局 路 由 表 中 是 否 有 该 静态 路 由 

无 线 控制 器 上 查看 全 局 路 由 表 中 是 否 存在 该 静态 路 由 。 

MS: display ip routing-table xxx. xxx. xxx. XTX( 目 的 IP 网 段 ) 

例如 : 通过 上 述 命令 查看 ,可 以 确认 全 局 路 由 表 中 存在 该 静态 路 由 。 


<H3C>display ip routing-table 192.168.2.0 
Routing Tables: Public 


Destinations : 1 Routes : 1 
Destination/ Mask Proto Pre Cost NextHop Interface 
192.168.2.0/24 Static 60 0 192.168.1.2 GE0/0 


(2) 检查 出 接口 状态 

查看 静态 路 由 对 应 的 出 接口 状态 是 否 正常 ,正常 情况 下 该 接口 的 物理 层 状态 .协议 层 状 态 
均 为 Up. 

MA: display inter face brief 

例如 : 通过 上 述 命 令 查看 ,可 以 确认 出 接口 的 物理 层 和 协议 层 状态 均 正常 。 

<H3C>display interface brief 

The brief information of interface(s) under route mode: 


Link: ADM - administratively down; Stby - standby 
Protocol: (s) - spoofing 


Interface Link Protocol Main IP Description 
Eth6/0 Down Down == 
GE0/0 Up Up 192.168.1.1 


(3) 检查 下 一 跳 地 址 可 达 性 

查看 该 静态 路 由 下 一 跳 地 址 并 验证 其 是 否 可 达 。 

MẸ: display ip routing-table protocol static xex. zzz. xxx. xxx( A BJ IP 网 段 ) 
ping xxx. xxx. xxr. XXL( 下 一 跳 IP 地 址 ) 

例如 : 通过 上 述 命令 ,可 以 确认 静态 路 由 下 一 跳 地 址 可 达 。 


< H3C>4display ip routing-table protocol static 192.168.2.0 


Static Routing TableStatus : < Active> 
SummaryCount : 1 
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Destination/Mask Proto Pre Cost NextHop Interface 
192.168.2.0/24 Static 60 0 192.168.1.2 GE0/0 


<H3C>ping 192.168.1.2 
PING 192.168.1.2:56 data bytes, press CTRL_C to break 
Reply from 192.168.1.2: bytes=56 Sequence 一 1lttl 一 255 time=1 ms 
Reply from 192.168.1.2: bytes=56 Sequence 一 2ttl 一 255 time=1 ms 
Reply from 192.168.1.2: bytes=56 Sequence=2ttl=255 time=1 ms 


(4) 查看 是 否 绑 定 BFD 或 NQA 

中 高 端 无 线 控制 器 支持 BFD 和 NQA。 查 看 静态 路 由 是 否 绑 定 了 BFD 或 NQA ,与 BFD 
或 NQA 检测 进行 联动 。 

命令 : display current-configuration | include xxx. xxx. xxx. sxx A Hy IP 网 段 ) 


例如 : 通过 上 述 命令 查看 ,可 以 确认 静态 路 由 绑 定 了 BFD 或 NQA。 


<H3C>display current-configuration | include 192.168.2.0 
ip route-static 192.168.2.0 255.255.255.0 GigabitEthernet0/0 192.168.1.2 bfd control-packet 


<H3C>display current-configuration | include 192.168. 2.0 
ip route-static 192.168.2.0 255.255.255.0 192.168.1.2 track 1 


(5) 检查 BFD sk NQA 配置 与 状态 

在 配置 了 静态 路 由 与 BFD 或 NQA 联动 的 情况 下 ,查看 相关 配置 .状态 信息 是 否 正 确 。 
正常 情况 下 BFD 的 会 话 状 态 为 Up; NQA Track 项 的 状态 信息 为 Positive, 

MS: display bfd session 

或 display trackrrzx (静态 路 由 绑 定 的 Track 号 ) 

例如 : 通过 上 述 命令 查看 ,可 以 确认 BFD 或 NQA 状态 正常 。 


=H3C> display bfd session 


Total SessionNum: 1 Init Mode: Active 

IPv4 Session Working Under Ctrl Mode: 

LD/RD SourceAddr DestAddr State Holdtime Interface 
53/53 192.168.1.1 192.168.2.2 Up 3300ms GE0/0 


<H3C>display track 1 

Track ID: 1 

Status: Positive(notify 13 seconds later) 

Notification delay: Positive 20, Negative 30 (in seconds) 
Reference object: 

NQA entry: admin test 

Reaction: 10 


(6) 检查 本 静态 路 由 掩 码 长 度 

最 长 掩 码 匹配 时 全 局 路 由 表 转 发 的 基本 原则 。 检 查 到 目的 IP 网 段 的 报 文 转发 能 否 匹 配 
静态 路 由 , 即 检查 该 静态 路 由 的 掩 码 是 否 最 长 。 

命令 : display ip routing-table xxx. xxx. zzz.zzz( H Hy IP 网 段 ) 

例如 : 通过 上 述 命 令 查 看 ,可 以 确认 本 静态 路 由 的 掩 码 不 是 最 长 。 
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<H3C>display ip routing-table 192.168.2.0 
RoutingTable : Public 
SummaryCount : 2 


Destination/ Mask Proto Pre Cost 
192.168.2.0/24 Static 60 0 
192.168.2.0/25 RIP 100 1 


NextHop Interface 
192.168.1.2 GE0/0 
192.168.3.2 GE0/1 


7.1.11 DHCP Server EH Y: 


增加 可 用 了 
地 址 数量 
拨打 热线 
400-310-0504 
EPES 
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07 无 线 产 品 SSD 7.1.11 DHCP Server 故障 排查 步骤 详解 


1. 开始 

DHCP Server 定位 故障 的 思路 是 : 先 查 DHCP 的 配置 ,再 查看 是 否 存在 可 用 IP 地 址 , 然 
后 查看 内 部 网 络 是 否 正常 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 DHCP 配置 

查看 当前 DHCP Server 配置 ,主要 包括 使 能 DHCP, 地 址 池 配 置 。 

命令 : 

© 查看 DHCP Server 使 能 状态 

LH3C ] display current-configuration 

@ 查看 DHCP Server 地 址 池 配 置 

[H3C] display dhcp server tree all 

例如 : 通过 命令 查看 ,可 以 确认 已 使 能 DHCP; 并 配置 了 DHCP 地 址 池 VLAN30, 可 分 配 
的 地 址 段 为 30. 30. 30. 3 30. 30. 30. 30. 30, 掩 码 为 255. 255. 255. 0, 网 关 为 30. 30. 30. 1。 


< AC>4display current-configuration 

# 
dhcp enable 

[AC]display dhcp server tree all 

Global pool: 

Pool name: vlan30 
network 30.30.30.0 mask 255.255.255.0 
network ip range 30.30.30.3 30.30.30.30 
PrevSibling node: vlan20 
gateway-list 30.30.30.1 
expired 1 0 0 0 


Pool name: vlan10 
network 10.10.10.0 mask 255.255.255.0 
Sibling node: vlan20 
gateway-list 10.10.10.1 
expired 1 0 0 0 


Pool name:1 
PrevSibling node:vlan10 
Sibling node: vlan30 
expired 1 0 0 0 


(2) 查看 可 用 地 址 

查看 DHCP Server 地 址 池 是 否 有 可 用 地 址 。 

命令 : display dhcp server free-ip 

例如 : 通过 命令 查看 ,可 以 确认 30. 30. 30.5 至 30. 30. 30. 30 地 址 还 未 使 用 。 


[H3C] display dhcp server free-ip 
IP Range from30.30.30.5 to 30.30.30.30 
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(3) 增加 可 用 IP 地 址 数量 

如 DHCP Server 地 址 池 无 可 用 地 址 , 则 可 增加 DHCP 地 址 池 的 IP 地 址 范围 ,以 此 增加 该 
DHCP 地 址 池 的 可 用 地 址 数量 。 

命令 : network ip range min-address max-address 


注意 : 配置 的 IP 地 址 范围 必须 在 指定 的 可 分 配 网 段 范围 内 ,否则 该 地 址 池 无 法 分 配 IP 
地 址 。 


network network-address [ mask-length | mask mask | 


例如 : 通过 命令 查看 ,可 以 确认 增加 的 IP 网 段 30. 30. 30. 3 至 30. 30. 30. 70 地 址 还 未 
使 用 。 


< H3C> system-view 

[H3C] dhcp server ip-pool 0 extended 

[H3C-dhcp-pool-0] network ip range 30.30.30.3 30.30.30.70 
30.30.30 增 大 为 30.30.30.3 至 30.30.30.70 


(4) 查看 内 部 网 络 

如 内 部 网 络 不 存在 DHCP 中 继 , 则 可 参考 如 下 方法 排查 。 

确认 PC 与 DHCP 服务 器 之 间 是 否 可 达 。 

PC 配置 一 个 与 DHCP 服务 器 同 网 段 的 IP 地 址 (注意 不 要 和 其 他 地 址 冲突 ), 然 后 使 用 
PC Æ ping DHCP 服务 器 ,确认 是 否 能 够 ping 通 。 

如 内 部 网 络 存在 DHCP 中 继 , 则 可 参考 如 下 方法 排查 。 

O 确认 DHCP 中 继 与 PC 互 连 接口 的 IP 地 址 是 否 与 DHCP 服务 器 的 地 址 池 网 段 匹 配 。 

© 确认 DHCP 中 继 与 DHCP 服务 器 之 间 是 否 可 达 。 

分 别 在 DHCP 中 继 上 ping DHCP 服务 器 .DHCP 服务 器 上 ping DHCP 中 继 ,确认 是 否 


存在 ping 不 通 或 者 单 通 的 现象 。 


// 地 址 池 范 围 由 30.30.30.3 至 30. 
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07 无 线 产品 > za ac Ó 7.1.12 无 线 指纹 定位 故障 排查 步骤 详解 


基于 WLAN 的 无 线 定位 有 多 种 技术 实现 途径 ,有 基于 信号 传播 模型 的 RSSI 三 角 定 位 、 
RSSI 指纹 定位 以 及 H3C 私有 的 基于 RTT 光 传 输 时 延 的 三 角 定 位 (丘比特 )。 本 云图 专门 针 
对 RSSI 指纹 定位 的 故障 排查 和 人 处理。 为 保证 定位 精度 能 到 10m 左右 ,无 线 RSSI 指纹 定位 对 
AP 部 署 、 天 线 选 型 .信号 强度 都 有 有 别 于 普通 Wi-Fi 部 署 的 要 求 。 在 定位 这 类 故障 时 , 先 检 
查 确认 AP 能 正确 发 送 定位 报 文 ; 其 次 就 是 检查 AP 部 署 情况 (包括 AP 部 署 高 度 、 密 度 、 信 号 
强度 、 天 线 ) 是 否 满足 提高 定位 精度 的 要 求 ; 最 后 需 保证 采样 的 准确 性 ,采样 的 准确 性 对 定位 
精度 的 影响 非常 大 。 采 样 完 成 后 ,网 络 的 信道 部署 ,物理 环境 不 能 发 生变 更 ,否则 需要 重新 

2. 流程 图 相关 操作 说 明 

(1) 能 完成 定位 但 精度 不 高 

首先 要 确认 故障 的 类 别 ,是 完全 无 法 生成 定位 信息 还 是 仅仅 是 定位 精度 不 够 高 ? 比如 误 
差 普 遍 在 20m 以 上 或 更 高 。 两 类 故障 的 定位 思路 完全 不 同 : 对 于 完全 无 法 生成 定位 信息 的 情 
况 ,就 需要 排查 AC 的 定位 基础 配置 .AP 型 号 是 否 支 持 定位 ,以 及 定位 服务 器 配置 是 否 准确 。 

(2) 检查 设备 型 号 及 定位 基本 配置 

O 支持 无 线 定位 的 设备 情况 (截至 2015 年 3 月 )。 只 有 瘦 AP 支持 无 线 指 纹 定 位 。 在 
B109D023 及 之 后 的 版 本 能 支持 通用 定位 协议 和 AeroSconut 协议 (“协议 ”是 指 AP 与 服务 器 通 
信 的 报 文 格式 规范 ,有 第 三 方 的 AeroScout 规范 和 我 司 私 有 的 规范 两 种 )。 支 持 指 纹 定位 的 
AC 和 AP 列举 如 表 7-3 所 示 。 


表 7-3 支持 指纹 定位 的 AC 和 AP 


支持 无 线 指纹 定位 的 AC| WX3000E、WX5004、WX6000 系列 及 插 卡 、WX5500E、WX3500E 


支持 无 线 指纹 定位 的 AP 


所 有 使 用 wa2600_fit. bin、wa2600a_fit. bin, wa3600_fit. bin, wa4600_fit. bin 的 AP 
(支持 llac 的 AP 需 把 radio 模式 切换 到 11a) ,不 建议 使 用 X 分 AP 做 定位 


© 无 线 定位 的 两 种 方式 (区 别 在 服务 器 是 自动 发 现 还 是 手工 配置 服务 器 IP) 。 
静态 定位 方式 (推荐 ) : 手工 配置 定位 引擎 服务 器 的 IP 地 址 , AP 主动 向 定位 服务 器 发 送 
定位 报 文 ,通用 定位 协议 和 AeroScout 协议 都 支持 静态 定位 方式 。 
动态 定位 方式 : 定位 服务 器 由 AP 去 自动 发 现 ,需要 保证 AP 与 定位 服务 器 二 层 互通 ,只 
有 AeroScout 协议 支持 动态 定位 方式 。 
© 无 线 指纹 定位 的 基础 配置 (在 不 同 定位 方式 下 有 不 同 的 配置 )。 
通用 定位 协议 十 静态 定位 方式 。 
<AC> system-view 
[AC] wlan rfid-tracking engine-type general 
[AC] wlan rfid-tracking enable 
[AC] wlan ap ap01 model WA2620E 


[AC-wlan-ap-ap01] rfid-tracking engine-addressX. X. X. X 
[AC-wlan-ap-ap01] quit 
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AeroScout 协议 十 静态 定位 方式 。 


< AC> system-view 

[AC] wlan rfid-tracking enable 

[AC] wlan ap ap01 model WA2620E 

[AC-wlan-ap-ap01] rfid-tracking engine-addressX. X. X. X 
[AC-wlan-ap-ap01] quit 


AeroScout 协议 十 动态 定位 方式 。 


< AC> system-view 

[AC] wlan rfid-tracking engine-detection dynamic 
AC] wlan rfid-tracking enable 

AC] wlan ap ap01 model WA2620E 
AC-wlan-ap-ap01] radio 1 
AC-wlan-ap-ap01-radio-1] rfid-tracking mode all 
[AC-wlan-ap-ap01-radio-1] quit 
[AC-wlan-ap-ap01] radio 2 
[AC-wlan-ap-ap01-radio-2] rfid-tracking mode all 
[AC-wlan-ap-ap01-radio-2] quit 
[AC-wlan-ap-ap01] quit 


(3) 检查 AP debug 及 抓 包 看 AP 有 无 发 送 定位 包 
通过 远程 登录 到 AP 上 抓 取 定位 debug 信息 ,如 果 能 抓 到 相关 debug ,说明 AP 能 正常 发 
送 定 位 包 。 
命令 : debugging wlan as-location all 
telminal debugging 


telminal monitor 


* Mar 417:21:00:991 2015 f2-a0l-i-1 WASL/7/EVENT : 

Client 4cac-0a45-5043 rssi is 47 and nf is 106. 

* Mar 417:21:00:991 2015 f2-a01-i-l WASL/7/FRAME : Put MU message into the queue. 
Mar 417:21:00:993 2015 f2-a01-i-l WASL/7/EVENT : Read MU message from queue. 
Mar 417:21:00:993 2015 f2-a01-i-l WASL/7/FRAME : Receive MU message. 

* Mar 417:21:00:995 2015 f2-a01-+-1 WASL/7/EVENT :WASL begin to send frame to server. 
* Mar 4 17:21:00:996 2015 f2-a01-i-l WASL/7/EVENT : 

WASL report ip address is 10. 100.56. 225. 

* Mar 417:21:00:996 2015 f2-a01-i-l WASL/7/EVENT : 

WASL report port is 1144. 

* Mar 4 17:21:00:996 2015 f2-a01-i-1 WASL/7/ VERBOSE : AE message: 

00 01 01 26 18 e8 5a 48 00 01 00 01 4c ac Oa 45 

50 43 74 25 8a 86 fO a0 02 00 74 25 8a 86 f0 bO 

00 00 Ob 00 ba b6 bl f1 c5 96 00 50 00 21 00 00 

00 01 00 d6 50 00 3a 01 18 59 36 78 76 e3 4c ac 

0a 45 50 43 4c ac Oa 45 50 43 60 ab la 14 d6 de 

04 02 00 00 a0 00 21 04 00 08 43 4d 43 43 2d 57 

45 42 01 08 82 84 8b 96 Oc 12 18 24 03 01 0b 07 

06 43 4e 20 01 Od le 2a 01 00 32 04 30 48 60 6c 

2d la 8c 01 1b ff 00 00 00 00 00 00 00 00 00 00 

00 00 00 00 00 00 00 00 00 00 00 00 33 la 8c 01 

1b ff 0 
* Mar 417:21:00:997 2015 f2-a01-i-1 WASL/7/EVENT : WASL send frame to server. 
* Mar 417:21:00:997 2015 f2-a01-+-1 WASL/7/EVENT :Send message to AE successfully. 
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另外 ,通过 在 AP 上 行 口 抓 包 也 能 判断 。AP 发 送 定位 报 文 的 目标 IP 地 址 为 定位 引擎 服 
务 器 IP 地 址 ,端口 号 1144. 

(4) 检查 定位 服务 器 配置 

检查 定位 服务 器 近期 有 没有 调整 过 配置 ,包括 是 否 有 IP 地 址 变更 .定位 参数 调整 等 。 检 
查 定位 服务 器 到 AP 的 网 络 路 由 是 否 可 达 。 

(5) AP 工作 模式 及 信道 检查 

O AP 工作 模式 。WLAN 网 络 在 完成 定位 的 同时 要 兼容 Wi-Fi 终端 接 入 ,根据 在 二 者 间 
的 工作 分 配 ,AP 有 不 同 的 工作 模式 。 不 同 的 模式 下 AP 在 定位 扫描 和 Wi-Fi 接 人 的 时 间 分 配 
有 区 别 , 需 要 针对 具体 情况 设置 合理 的 工作 模式 。AP 工作 模式 有 如 下 3 种 。 

Monitor Mode; AP 按照 1.6、11 信道 周期 切换 的 方式 扫描 周围 信道 ,每 个 信道 停留 的 时 
间 为 60ms。 工 作 在 此 模式 下 的 AP 无 法 做 用 户 接 入 。 

Access Mode: AP 工作 在 此 模式 下 可 以 正常 提供 Wi-Fi 用 户 接 入 功能 ,同时 还 能 扫描 AP 
当前 工作 的 信道 ,也 即 是 AP 只 能 扫描 监控 一 个 信道 。 

Hybrid Mode: AP 在 大 部 分 的 时 间 都 工作 在 一 个 信道 用 于 提供 Wi-Fi 接 入 和 信道 监控 ， 
也 会 留 出 较 短 的 时 间 用 于 扫描 非 工作 信道 。 工 作 在 该 模式 下 的 AP 对 非 工 作 信 道 的 监控 定位 
效果 有 限 。 

在 实际 的 定位 应 用 中 ,一 般 推 荐 monitor 和 access 模式 混搭 使 用 ,不 推荐 使 用 Hybrid 
模式 。 

命令 : workmode monintor 


例如 : 通过 命令 设置 AP 的 工作 模式 为 monitor。 


wlan ap fl-a06-o-1 model WA2620i-AGN id 207 
priority level 7 
serial-id 219801A0CNC144000364 
work-mode monitor 
undo broadcast-probe reply 
radio 1 
channel 149 
radio enable 
radio 2 
channel 6 
radio enable 


© 信道 设置 。RSSI 指纹 定位 要 求 在 同一 个 位 置 能 有 尽量 多 的 AP 能 扫描 到 终端 的 无 线 
信号。 所 以 在 AP 部 署 时 ,同一 个 区 域 的 AP 需要 采用 相同 的 信道 。 推 荐 的 方式 是 一 个 楼 层 
设置 一 个 信道 ,不 同 的 楼 层 设置 不 同 的 信道 。 

楼 层 与 楼 层 之 间 的 区 域 比如 楼 梯 、 手 扶 电梯 附近 可 以 增加 几 个 monitor 模式 的 AP 完成 
过 渡 ,monitor AP 可 以 同时 监控 上 下 两 个 楼 层 的 信道 。 

(6) 定位 配置 优化 

无 线 指纹 定位 建议 配置 忽略 Beacon 帧 (不 上 报 Beacon 监控 信息 .降低 AP CPU 开销 ) 以 
及 设置 定位 报 文 最 低 RSSI 门限 值 ( 从 无 线 信 号 传播 模型 看 ,RSSI 越 低 , 距 离 AP 越 远 , 信 号 波 
动 越 大 ,并 且 当 RSSI EF 20 后 ,RSSI 值 随 距 离 变 化 不 敏感 ,基本 丧失 参照 价值 ,所 以 需要 易 
除 RSSI 小 于 20 的 报 文 ) 。 
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命令 : wlan r fid-tracking ignore beacon 

例如 : 配置 无 线 定 位 忽略 Beacon W. 

命令 : wlan r fid-tracking rssi-threshold 20 

例如 : 配置 无 线 定位 最 低 RSSI 门限 值 为 20。 

(7) AP 信号 强度 检查 

什么 是 Wi-Fi 指纹 ,指纹 就 是 许多 个 AP 收 到 的 终端 信号 强度 的 一 个 集合 , 它 与 终端 所 
处 的 位 置 相 关 。 只 有 当 能 接收 终端 信号 的 AP 越 多 ,指纹 才 越 丰富 精确 ,才能 保证 定位 的 
精度 。 

从 经 验 上 看 ,只 有 当 大 多 数 区 域 点 位 都 能 收 到 3 个 及 以 上 AP 的 Beacon 信号 ,并且 强度 
大 于 一 75dBm 方 能 保证 较 好 的 定位 效果 。 所 以 定位 要 求 AP 有 一 定 的 部 署 密度 。 

(8) 检查 AP 安装 位 置 及 布点 

当 AP 的 部 署 不 满足 信号 强度 的 要 求 时 ( 即 大 多 数 区 域 都 能 收 到 3 个 及 以 上 AP 的 
Beacon 信号 并 且 强 度 大 于 一 75dBm 的 要 求 ) ,就 需要 考虑 是 否 增加 AP 以 及 调整 AP 的 部 署 
位 置 。 

O 对 于 层 高 在 4m 左右 的 商场 ,推荐 AP 部 署 密度 在 20m 一 个 。 

© 对 于 层 高 超过 4m 的 商场 ,AP 应 该 部 署 更 密 。 如 果 层 高 超过 6m, 定 位 效果 会 下 降 。 

@ 对 于 层 高 低 于 4m 的 场景 ,比如 地 下 和 车库, 一 般 层 高 在 3m 以 下 。AP 部 署 密度 可 以 相 
应 降低 ,比如 30m 一 个 AP。 

还 有 一 些 通用 规范 ,如 : AP 要 均匀 部 署 ; 不 要 靠近 墙角 /障碍 物 等 。 

(9) AP 天 线 安 装 检查 

推荐 使 用 普通 全 向 天 线 , 这 类 天 线 的 辐射 方向 图 比较 稳定 , 且 水 平 波 瓣 图 接近 于 圆 形 ,如 
图 7-11 所 示 。 


2407 300" 


7-11 普通 全 向 天 线 
对 于 有 智能 天 线 的 AP, 比 如 WA2620i, WA4620i-ACN 等 ,建议 关闭 智能 天 线 功 能 。 


命令 : undo smart-antenna enable 


例如 : 关闭 AP 智能 天 线 。 


# 
wlan ap b1-a01-i-2 model WA4620i-ACN id 102 
priority level 7 
serial-id 210235A1BSC147001281 
undo broadcast-probe reply 
rfid-tracking engine-address 10.100.56.225 
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radio 1 type dotllan 
channel 149 
radio-policy 1 
service-template 2 vlan-id 80 
undo smart-antenna enable 
power lock 

radio 2 
channel 1 
radio-policy 1 
service-template 2 vlan-id 80 
service-template 4 
undo smart-antenna enable 
power lock 
radio enable 


# 


(10) 采样 准确 且 粒 度 足 够 高 

无 线 RSSI 指纹 定位 需要 预先 采样 , 即 预先 收集 各 物理 位 置 的 RSSI 指纹 ,再 与 目标 终端 
的 Wi-Fi 信号 进行 匹配 从 而 “估算 ”终端 的 位 置 。 所 以 * 采 样 ” 信 息 收 集 的 准确 性 直接 关系 到 定 
位 的 精准 度 。 

采样 的 过 程 解 析 : 由 测试 人 员 拿 着 采样 Wi-Fi 终端 遍历 所 有 的 物理 点 位 ,在 这 个 过 程 中 
由 AP 收集 并 由 服务 器 记录 终端 的 信号 强度 ,再 结合 测试 人 员 在 地 图 上 输入 的 点 位 坐标 ,汇总 
成 位 置 与 信号 强度 的 指纹 库 <x, y), RSSI s RSSIap …… 、RSSIAr 之 。 不 同 定位 引擎 服务 器 
在 采样 方式 上 的 区 别 主 要 在 于 通过 何 种 方式 能 让 工程 师 在 地 图 上 既 方便 又 准确 地 输入 采样 坐 
标 。 以 智慧 图 为 例 进 行 举例 说 明 。 

智慧 图 采样 时 需要 测试 人 员 携 带 两 部 手机 ,包括 采样 手机 和 信号 源 手机 。 

D 采样 手机 上 运行 采样 App, 并 携带 地 图 ,通过 Wi-Fi 网 络 与 定位 服务 器 建立 连接 。 采 
样 时 ,要 求 沿 采 样 路 线 匀速 行走 ,并 每 隔 一 段 距离 单 击 确认 当前 所 在 位 置 。 所 有 的 数据 将 实时 
存放 在 服务 器 端 。 

@ 信号 源 手 机 充当 采样 的 信号 源 ,AP 接收 到 采样 手机 的 信号 并 上 报到 服务 器 。 为 了 获 
取 更 多 的 样本 ,要求 在 短 时 间 内 手机 发 出 大 量 的 报 文 ,一 般 通过 安装 Wi-Fi 扫描 仪 App 实现 。 

这 种 采样 方式 的 最 大 优势 是 节省 时 间 , 只 需要 人 走 一 遍 就 完成 信号 的 采样 。 相 比 于 采用 
网 格 采样 笔记本 采样 的 方式 更 为 高 效 。 

为 了 达到 较 高 的 定位 精度 ,要 求 采样 过 程 中 测试 人 员 移 动 速度 尽量 慢 ( 速 度 不 超过 
0. 3m/s) ,位 置信 息 确认 要 足够 准确 ,并 且 采 样 线路 要 覆盖 的 足够 密 (任意 目标 点 位 为 中 心 , 半 
径 2 米内 必须 有 采样 线路 能 覆盖 ) 。 建 议 同 一 条 线路 来 回 走 两 遍 , 用 于 消除 人 体 信 号 遮挡 造成 
的 采样 误差 。 

(11) 排查 有 无 增 减 AP, AP 掉 线 、 信 道 配 置 变更 情况 

为 保证 采样 数据 的 准确 性 ,必须 在 完成 了 所 有 的 AP 部 署 上 线 、 信 道 、 工 作 模式 参数 配置 
之 后 再 来 进行 采样 操作 。 

如 果 在 采样 完成 后 发 生 增加 AP 减少 AP、AP 掉 线 、AP 信道 配置 变更 或 者 环境 的 物理 结 
构 发 生 改 变 等 情况 ,必须 重新 进行 采样 ,才能 保证 定位 服务 器 有 准确 的 指纹 数据 库 , 才 能 准确 
定位 。 
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定位 故障 的 思路 是 : 首先 观察 NQA 收发 统计 报 文 是 否 一 致 ,判断 NQA 检测 是 否 正常 。 
如 果 NQA 检测 报 文 收 发 不 一 致 且 差 值 数量 在 增长 , 则 检查 网 络 质量 .设备 CPU 利用 率 以 及 
探测 报 文 发 送 频率 /超时 时 间 的 设置 ; 如 果 NQA 检查 报 文 收发 一 致 或 者 收发 差 值 没有 增长 ， 
则 需要 检查 Track 状态 ; 如 果 Track 状态 异常 , 则 需要 检查 NQA 配置 ; 如 果 Track REE 
常 , 则 需要 检查 VRRP 状态 是 否 正 常 ; 如 果 VRRP 状态 异常 , 则 需要 检查 主 备 之 间 二 层 链 路 
是 否 稳定 以 及 VRRP 配置 是 否 一 致 ; 如 果 VRRP 状态 正常 , 则 需要 检查 Track 与 VRRP 联动 
配置 以 及 VRRP 实地 址 与 虚 地 址 是 否 一 致 。 

2. 流程 图 相关 操作 说 明 

(1) NQA 收发 报 文 统计 是 否 正常 

NQA 统计 数据 记录 报 文 收发 数量 以 及 检测 失败 报 文 分 类 统计 数量 ,通过 收发 报 文 数量 
差 值 可 以 判断 NQA 检测 是 否 正常 ,如 果 多 次 查看 发 送 报 文 数量 与 接收 报 文 数量 差 值 稳定 不 
变 , 则 说 明 NQA 探测 正常 ,反之 则 说 明 NQA 探测 异常 。 

MA: display nqa statistics 

例如 : 通过 命令 查看 NQA 报 文 统计 信息 ,检查 发 送 报 文 数量 和 接收 数量 是 否 一 致 ,判断 
NQA 探测 是 否 正 常 。 


[Master] display nqa statistics 
NQA entry (admin admin, tag test) test statistics: 

NO. :1 

Destination IP address: 192.168.2.10 
Start time: 2015-04-27 13:05:02.2 
Life time: 1351 seconds 
Send operation times:7045 Receive response times: 6620 
Min/Max/ Average round trip time: 1/51/5 
Square-Sum of round trip time: 274288 

Extended results: 
Packet loss in test: 6% 
Failures due to timeout:425 
Failures due to disconnect: 0 

Reaction statistics: 
Index Checked Element Threshold Type Checked Num Over-threshold Num 
2 probe-fail consecutive 7044 425 


(2) 检查 网 络 连通 性 

检查 NQA 探测 目的 地 址 是 否 可 达 , 如 果 目 的 IP 地 址 ping 不 通 ,主要 检查 以 下 内 容 。 
O 检查 接口 是 否 Up, 链 路 是 否 故障 。 

@ 检查 互 连 端口 统计 ,检查 错误 报 文 统计 是 否 在 增长 。 

O 检查 链 路 状况 是 否 有 震荡 ,是 否 有 端口 频繁 Up/Down, 

© 检查 NQA 目的 IP 地址 路 由 是 否 可 达 。 

© 端口 下 是 否 开 启 了 认证 .ACL 过 滤 等 安全 功能 。 

© 如 果 是 光 介 质 , 检 查 光 衰 减 是 否 在 正常 范围 之 内 。 
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(3) 检查 CPU 占用 率 


一 般 情况 下 ,CPU 占用 率 超过 90% 时 可 能 会 导致 探测 报 文 上 送 CPU 丢 包 , 这 时 需要 排 
Æ CPU 高 的 原因 。 

MS: display cpu-usage 

例如 : 查看 设备 的 CPU 占用 率 。 


< Master display cpurusage 
Slot 1 CPU usage: 
92% in last 5 seconds 
90% in last 1 minute 
81% in last 5 minutes 


(4) 检查 探测 报 文 发 送 频率 /超时 时 间 
根据 网 络 的 流量 大 小 .设备 的 性 能 、 链 路 质量 状况 等 因素 ,合理 配置 探测 报 文 的 发 送 间 隔 
以 及 失效 时 间 。 修 改 NQA 探测 报 文 的 发 送 间隔 和 允许 连续 的 探测 失败 次 数 。 
命令 : frequency interval 
reactionitem-number checked-element probe- fail threshold-type consecutive 
consecutiveoccurrences action-type trigger-only 


例如 : 配置 NQA 探测 报 文 发 送 间隔 为 1500ms, 最 多 允许 连续 5 个 报 文 失效 。 


[Master-nqa-admin-test-icmp-echo]display this 
# 
type icmp-echo 

frequency 1500 


reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only 


(5) 查看 Track 状态 是 否 为 Positive 

通过 命令 查看 Track 项 状态 ,如 果 Track 状态 稳定 在 Positive, 则 说 明 Track 正常 ,如 果 
Track 状态 为 Negative 或 者 Invalid 状态 , 则 说 明 Track 状态 异常 。 

命令 : display tracktrack-entry-number 


例如 : 通过 命令 查看 Track 1 的 当前 状态 。 


[Master] display track 1 
Track ID: 1 
Status: Positive 
Duration: 0 days 0 hours 14 minutes 11 seconds 
Notification delay: Positive 0, Negative 0 (in seconds) 
Reference object: 
NQA entry: admin test 
Reaction: 1 


(6) 检查 Track 与 NQA 绑 定 配置 


配置 Track 项 时 ,如果 引 用 了 错误 的 NQA 测试 组 , 则 该 Track 项 的 状态 为 Invalid, 
例如 : Track 项 错误 的 引用 了 NQA 测试 组 admin test Reaction 1 导致 Track 项 状态 为 


Invalid, 


[Master] display track 1 
Track ID: 1 
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Status: Invalid 

Duration: 0 days 0 hours 1 minutes 9 seconds 

Notification delay: Positive 0, Negative 0 (in seconds) 

Reference object: 
NQA entry:admin test 
Reaction: 1 

[Master] display nqa reaction counters admin test 

NQA entry (admin admin, tag test) reaction counters: 
Index Checked Element Threshold Type Checked Num Over-threshold Num 
2 probe-fail consecutive 833 73 


(7) 查看 VRRP 状态 是 否 正常 

通过 命令 检查 主 备 VRRP 状态 是 否 正常 ,如 果 主 设备 VRRP 状态 为 Master, 备 设备 
VRRP 状态 为 Backup, 则 VRRP 状态 正常 ,反之 其 他 状态 则 VRRP 状态 异常 。 

命令 : display vrrp interface olan z 


例如 : 通过 命令 查看 主 备 设备 VLAN 1 的 VRRP 状态 信息 。 


[Master] display vrrp interface vlan 1 
IPv4 Virtual Router Information: 
Running mode: Standard 
Total number of virtual routers on interface Vlan-interfacel : 1 


Interface VRID State Running Adver Auth Virtual 
Pri Timer Type IP 
Vlan1 1 Master 120 100 None 192.168.1.1 


[Backup]display vrrp interface vlan 1 
IPv4 Virtual Router Information: 
Running mode: Standard 
Total number of virtual routers on interface Vlan-interfacel : 1 
Interface VRID State Running Adver Auth Virtual 
Pri Timer Type Ip. 


(8) 检查 VRRP 配置 是 否 正确 

主 备 的 VRRP 配置 保持 一 致 时 ,VRRP 状态 才 可 以 正常 ,VRRP 关键 配置 包括 VRID、 虚 
IP 地 址 .认证 方式 以 及 密 钥 相 同 ,通过 命令 检查 主 备 配置 是 否 正常 。 

命令 : display current-con figuration 


例如 : 使 用 命令 查看 检查 主 备 的 VRRP 配置 是 否 一 致 


[Master] display current-configuration 
# 
interface Vlan-interfacel 
ip address 192.168.1.2 255.255.255.0 
vrrp vrid 1 virtual-ip 192.168.1.1 
vrrp vrid 1 priority 120 
vrrp vrid 1 preempt-mode delay 5 
vrrp vrid 1 track 1 priority reduced 30 
# 
[Backup ]display current-configuration 
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# 

interface Vlan-interface1 

ip address 192.168.1.3 255.255.255.0 
vrrp vrid 1 virtual-ip 192.168.1.1 

vrrp vrid 1 priority 100 

# 


(9) 检查 VRRP 主 备 间 二 层 链 路 是 否 正常 

VRRP 协议 通过 二 层 报 文 相互 建立 连接 , 当 VRRP 协议 报 文 转发 VLAN 二 层 不 通 时 ,将 
影响 主 备 之 间 的 VRRP 状态 ,如果 VRRP 协议 报 文 转发 VLAN 二 层 不 通 , 请 检查 如 下 几 项 。 

检查 接口 是 否 Up, 链 路 是 否 故障 。 

O 检查 链 路 状况 是 否 有 震荡 ,是 否 有 端口 频繁 Up/Down。 

@ 端口 下 是 否 开 启 了 认证 .ACL 过 滤 等 安全 功能 。 

@ 如 果 是 光 介质 ,检查 光 衰 减 是 否 在 正常 范围 之 内 。 

(10) 检查 Track 与 VRRP 联动 绑 定 关系 

如 果 Track 状态 发 生变 化 , 则 无 法 与 应 用 模块 联动 ,检查 需要 关联 的 Track 项 是 否 已 创 
建 , 或 与 应 用 模块 关联 的 Track 项 是 否 正确 。 

例如 : 查看 配置 的 VRRP 是 否 与 Track 项 正确 关联 。 


[H3C] display current-configuration interface vlan 1 
# 
interface Vlan-interface1 
ip address 192.168.1.2 255.255.255.0 
vrrp vrid 1 virtual-ip 192.168.1.1 
vrrp vrid 1 priority 120 
vrrp vrid 1 preempt-mode delay 5 
vrrp vrid 1 track 1 priority reduced 30 
# 
return 
[H3C] display track 1 
Track ID:1 
State: Positive 
Duration: 0 days 1 hours 49 minutes 57 seconds 
Notification delay: Positive 0, Negative 0 (in seconds) 
Tracked object: 
NQA entry: admin test 
Reaction: 1 


(11) 检查 VRRP 虚 地 址 与 实地 址 是 否 一 臻 

VRRP 正常 状态 时 ,设备 的 VRRP 虚 地 址 与 实地 址 在 同一 个 网 段 且 不 相同 , 主 设备 
VRRP 虚 地 址 与 实地 址 相同 时 ,查看 主 备 VRRP 状态 正常 , 当 NQA 检测 到 目的 地 址 不 可 达 
时 ,Track 将 联动 VRRP 失败 ,VRRP 状态 将 不 能 正常 的 切换 。 

命令 : display current-con figuration inter face vlan x 


例如 : 使 用 命令 查看 VLAN 接口 VRRP 实地 址 与 虚 地 址 是 否 相 同 。 


[H3C] display current-configuration interface vlan 1 
# 


interface Vlan-interface1 
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ip address 192.168.1.2 255.255.255.0 
vrrp vrid 1 virtual-ip 192.168.1.1 
vrrp vrid 1 priority 120 
vrrp vrid 1 preempt-mode delay 5 
vrrp vrid 1 track 1 priority reduced 30 
# 


return 


排查 如 是 否 
CEATA 
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E 7.1.14 室外 无 线 CPE 应 用 网 速 
vrara DO r A 


1. 开始 

WLAN 十 CPE 在 农村 宽带 无 线 中 应 用 较为 普遍 。 由 于 CPE 大 多 分 布 在 山区 等 有 线 网 络 
覆盖 不 到 的 地 区 , 受 山 地 地 形 和 长 距离 信号 传输 的 衰 耗 等 因素 的 影响 ,室外 无 线 CPE 经 常会 
出 现 上 网 速度 慢 、 看 视频 卡 顿 等 体验 类 问题 。 当 出 现 这 类 问题 后 ,远程 定位 的 思路 是 先 明确 故 
障 发 生 的 范围 ,是 单个 CPE 还 是 某 一 个 扇 区 下 的 很 多 CPE, 或 者 故障 扩散 到 整个 基站 塔 及 回 
传 网 络 。 如 果 故 障 范围 锁定 在 单个 CPE 或 者 AP, 定 位 时 可 以 从 “点 ”和 *“ 面 ”两 个 切入 点 着 手 : 
“点 ”是 指 该 CPE 的 信号 强度 .RSSI\ 协 商 速率 以 及 link-test 重 传 丢 帧 情况 ;“ 面 "是 指 整 个 AP 
的 大 环境 ,如 空 口 利用 率 、 关 联 用 户 数 、 有 线 端 口 流 量 等 。 两 方面 综合 考虑 , 方 能 快速 准确 的 定 
位 问题 。 

2. 流程 图 相关 操作 说 明 

(1) CPE 关联 稳定 、 无 漫游 

室外 WLAN 应 用 中 ,AP 安装 于 2G/3G 基站 或 高 塔 上 ,信号 覆盖 范围 广 。CPE 侧 经 常 能 
收 到 多 个 AP 发 送 过 来 的 信号 ,从 而 导致 CPE 可 能 在 多 个 AP 间 发 生 漫游 ,漫游 过 程 中 的 丢 
包 和 延 时 可 能 导致 网 络 不 稳定 。 在 WLAN 实施 中 应 尽量 避免 CPE 频繁 漫游 情况 的 发 生 ( 比 
如 可 以 采用 不 同 的 扇 区 用 不 同 SSID 的 方式 ,保证 CPE 的 准确 接 和 人 ) 。 

命令 : display wlan client roam-track mac-address z=z=zz-zzzz-zzzz= 


例如 : 查看 MAC 地 址 70ba-ef0a-9c8d 的 CPE 是 否 发 生 过 漫游 ,以 及 漫游 发 生 的 时 间 。 


<H3C>display wlan client roam-track mac-address 70ba-ef0a-9c8d 
Roam Track Table 


BSSID Online-time(d:h:m:s) AC-IP-address 
5866-ba61-fcd0 0000:23:56:20 -HOME AC- 
5866-ba99-db00 0000:00:54:31 -HOME AC- 
5866-ba61-fcd0 0000:01:53:20 -HOME AC- 


(2) 排查 AP 是 否 有 掉 线 情况 

当 CPE 关联 的 AP 发 生 掉 线 时 ,也 可 能 导致 CPE 失去 主 覆盖 小 区 ,在 其 他 扇 区 的 AP 间 
频繁 漫游 。 

MS: display wlan ap connection record mac-address zxz=z=z-zzzz-zzzzx 

例如 : 查看 MAC 地 址 c4ca-d9f3-aa60 的 AP 是 否 发 生 过 掉 线 , 根 据 记 录 的 上 线 时 间 来 判 
断 AP 是 否 掉 线 过 。 


< AC>4display wlan ap connection record mac-address c4ca-d9f3-aa60 
MAC Address Serial ID State Time 
c4ca-d9f3-aa60 210235A0RXC11C003173 Run 2015-03-04 00:04:27 
7425-8a90-4860 219801 A0LVC142000326 Offline 2015-02-13 11:06:04 
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(3) 主力 覆盖 小 区 和 扇 区 绑 定 

CPE 发 生 频 繁 漫游 ,可 能 是 缺少 主力 覆盖 小 区 导致 . 即 多 个 AP 在 该 区 域 的 信号 强度 都 差 
不 多 ,CPE 在 这 些 AP 间 发 生来 回 漫 游 。 可 以 使 用 WLAN 信号 测试 仪 (WirelessMon) 来 测试 
周边 的 无 线 信号 。 当 发 现 确 实 有 多 个 WLAN 信和 号 同时 存在 且 强 度 差不多 时 ,就 要 考虑 是 否 
需要 调整 AP 的 覆盖 范围 ,包括 移 开 非 主 覆盖 小 区 的 AP 天 线 、 调 整 天 线 俯仰 角 等 。 

(4) 检查 CPE 侧 运 行 状态 、 信 号 ,配置 

以 H3C WB521X 为 例 , 如 图 7-12 所 示 。 


基本 信息 
生产 序列 号 : 219801A0ER9134Q00606 
REEE: was21xv1008005 (Gas ANTE: 
Bootrom 啤 本: 0.1.0.4 
HRES: VERA 
FRES: — PUBA: 25% AEA: 19.4% 
re 
KW: Z20113 01401 00:49:53 
ISIELPZ3 
上 网 方式。 zine 
TUBBS:  RERH 
op 
E 56:66:BA:64:83:F0 
Easa: 6-2437 GHz 
fat: -s3/-95 dem 
一 wr oes 
RSSI: 32/40 
AR — mes 
zike 144.4Mbps 
MAC 地 址 74:25:8A:32:CE:68 
Bg] ee: [9 Ee 
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CPE 的 CPU 和 内 存 利用 率 不 超过 60%. 

CPE 关联 无 线 网 络 名 称 正确 。 

CPE 收 到 AP 的 信号 强度 大 于 一 65dBm ,噪声 强度 小 于 一 95dBm。 

CPE RSSI, 值 大 于 30, 双 天 线 差 值 小 于 10。 

CPE 接收 和 发 送 速 率 。 

(5) CPE 硬件 和 软件 检查 、 天 线 调 整 

检查 CPE 硬件 状态 ,以 H3C WB521X 的 安装 规范 性 为 例 ,如 表 7-4 所 示 。 


表 7-4 H3C WB521X 的 安装 规范 性 


项 目 检 查 项 检查 内 容 
CPE 放置 位 置 CPE 垂直 安装 ,网 卡 朝 下 ,螺丝 或 喉 短 牢固 固定 
CPE 室外 安装 “CPE 天 线 角度 CPE 放置 位 置 与 无 线 基站 不 超过 2km, 无 遮挡 
CPE 防水 网 线 处 做 好 防水 弯 , 卡 紧 下 盖 或 拧紧 防水 接头 
网 线 长 度 选择 质量 较 好 的 五 类 , 超 五 类 线材 ,外 皮 保护 层 完整 ,长 度 建议 越 短 
越 好 ,网 线 最 长 不 超过 100m 
网 线 布 放 网 线 走 线 强 弱 电 分 开 走 线 ,网 线 单独 固定 和 捆扎 , 切 勿 与 电线 等 线 缆 搭 接 
水 晶 头 制作 采用 直 连 线 序 (T-568B) 方 式 压制 水 晶 头 ,网 口 和 水 晶 头 卡 连接 应 有 
A Me ho Ik mk FE 
POE 注入 器 安装 POE 注入 器 连接 | CPE 接 POE 供电 模块 处 需 做 好 防水 弯 避 免 雨水 进入 
POE 注入 器 供电 | 以 我 司 POE 注入 器 为 例子 ,供电 后 ,模块 灯 应 常 亮 
CPE 指示 灯 CPE Power 灯 常 亮 .LAN 灯 闪 烁 .Diag 灯 常 灭 
CPE 运行 检查 CPE 信号 强度 信号 强度 指示 灯 应 调整 至 2 格 以 上 信号 ; Web 页 面 上 信 噪 比 应 大 于 
一 65dBm,RSSI 大 于 30, 差 值 小 于 10 
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如 果 CPE 上 显示 AP 信号 强度 小 于 一 70dBm, 需 要 考虑 是 否 调整 CPE 朝向 及 高 度 。 

如 果 CPE 双 天 线 RSSI 差 值 太 大 ,需要 考虑 是 否 CPE 或 者 AP 天 线 存 在 故障 ,尝试 蔡 换 
测试 。 

另外 CPE 上 需要 开启 RTS/CTS 保护 ,防止 上 行 方 向 由 于 CPE 间 隐 藏 节点 形成 冲突 导 
致 性 能 下 降 (H3C WB521X 默认 开启 RTS/CTS)。 

(6) 检查 AP flj RSSI、RX/TX 协商 速率 

在 AP 侧 查看 CPE 信号 强度 ,RSSI 应 该 大 于 30, RX/TX 协商 速率 越 高 越 好 (至 少 不 低 
于 11Mbps)。 

MA: display wlan client mac-address rxxx-xxxrx-xxxx verbose 


例如 : 查看 CPE 信号 强度 。 


< AC>4display wlan client mac-address 5cdd-70b7-88b1 verbose 
Total Number of Clients Eg 
Client Information 


MAC Address 


Support MCS Set 


: 5cdd-70b7-88b1 


User Name LENA- 

IP Address #/0.0.0.0 

AID z 20 

AP Name : zd-hedian-ap-1 
Radio Id z:2 

Antenna Id 50 

Service Template Number : 97 

SSID : sz-hedian-1 
BSSID : 7425-8a8f-3190 
Port : WLAN-DBSS97:8733 
VLAN : 1001 

State : Running 
Power Save Mode : Active 
Wireless Mode salga 

Channel Band-width : 20MHz 

SM Power Save Enable : Disabled 

Short GI for 20MHz : Supported 
Short GI for 40MHz : Not Supported 
STBC TX capability : Supported 
STBC RX capability : Supported 


: 0,1,2,3,4,5,6,7,8,9, 


10,11,12,13,14,15 


BLOCK ACK-TID 0 : BOTH 

QoS Mode : WMM 
Listen Interval (Beacon Interval) el 

RSSI : 30 

Rx/Tx Rate : 65/144.4 
Client Type : PRE-RSNA 
Authentication Method : Open System 
Authentication Mode : Central 
AKM Method : None 
4-Way Handshake State : -NA- 
Group Key State : -NA- 
Encryption Cipher : Clear 

Roam Status : Normal 
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Roam Count "0 
Up Time (hh:mm:ss) : 9 Days, 02:55:07 
Serial Number : 219801A0KP913CQ01701 
Device Information : WB521X-E 
Software Version : WB521X-EV100R001 
Associated AP RSSI : -NA- 
Associated AP SNR : -NA- 
Tx Power (dBm) : -NA- 
Rx Packets 1.0 
Rx Bytes :0 
Tx Packets : 0 
Tx Bytes 0 
Tx Dropped Packets : 0 
Command Execution Result GNA- 


RSSI 值 应 该 在 30 以 上 为 良好 ,不 能 低 于 25, 和 否则 需要 调整 AP 位 置 或 者 天 线 角度 来 提升 
信号 强度 。 

RX/TX 速率 : 65 以 上 为 优 , 低 于 24 为 较 差 。 

另外 ,对 于 lln 的 AP 和 CPE 配 合 , 需 保 证 每 根 天 线 接收 到 的 信号 强度 RSSI 都 相差 不 
大 , 差 值 不 能 超过 10, 否则 可 能 会 影响 MIMO 效果 。 在 AP 隐藏 模式 下 通过 如 下 命令 查看 
lln 多 根 天 线 的 RSSI 

MA: display ar5dro 2 client all rssi 

例如 : 查看 WA2620X MIMO 共 2 根 天 线 的 RSSI 情况 。 


[AP-hidecmd] display ar5drv 2 client all rssi 

Station table info : Table(0x858e7744) Num(22/128) 

Hash info : 

H0(1) H1(1) H2(2) H3(2) H4(2) H5(1) H6(2) H7(2) 

H8(2) H9(1) H10(1) H11(1) H12(1) H13(1) H14(1) H15(1) 
Station AID(1) Hash(1) Mac(70ba-ef8a-fal7) Used( YES) Ht: (YES) 

[Station Current Rssi Info] : 

[Rate RateFlag Aver Ctlo Cuill Ctl2 Ext0 Extl Ext2 


[6.5 H-L2-S 0 0 0 0 0 0 0 J 
[13.0 HL2-S 47 4 45 0 0 0 0 j 
[19.5 H-L-2-S 47 4 45 0 0 0 0 J 
[26.0 H-L-2-S 48 43 46 0 0 0 0 J 
[39.0 H-L-2-S 48 44 46 0 0 0 0 J 
[52.0 H-L-2-S 46 4 44 0 0 0 0 J 
[58.5 H-L-2-S 0 0 0 0 0 0 0 J] 
[65.0 H-L-2-S 47 42: 0 45 0 0 0 0 i) 
[72.2 H-S-2-S 0 0 0 0 0 0 0 J 
[78.0 HL2-D 47 4 45 0 0 0 0 J 
[104.0 H-L-2-D 46 4 45 0 0 0 0 ] 
[117.0 H-L2D 47 4 45 0 0 0 0 J 
[130.0 H-L-2-D 46 4 45 0 0 0 0 J 
E 47 4 45 0 0 0 0 J 
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(7) 调整 AP 天 线 朝 向 、 俯 仰角 保证 RSSI 达标 


通过 天 线 方位 和 俯仰 角 的 调整 来 保障 天 线 主 波 因 覆盖 CPE 所 在 区 域 ,提升 RSSI 信号 强 
度 ,如 图 7-13 所 示 。 


7-13 调整 AP 天 线 朝 向 、 俯 仰角 


另外 ,为 保证 11n 多 天 线 RSSI 值 均衡 ,要 注意 天 线 的 极 化 连接 方向 , 即 天 线 的 多 根 “ 辫 
子 ” 中 至 少 有 一 个 水 平 极 化 ANT 和 一 个 垂直 极 化 ANT 分 别 连接 AP 的 两 个 “TR” 射 频 口 
(“TR”, 即 能 完成 无 线 信 号 的 发 和 收 ;“R” 只 能 完成 信号 的 接收 ,不 能 向 外 发 送信 号 )。 
WA2620X-AGNP 和 WA2620X 图 例 说 明 如 图 7-14、 图 7-15 所 示 。 


TR <D 5G-ANTI 2G-ANTI TR 


R <D 5G-ANT2 2G-ANT2 CJD AR 


H3C 
WA2620X-AGNP 


TR dDO5G-ANT3 2G-ANT3CCID AR 


= 


图 7-14 WA2620X-AGNP 天 线 的 极 化 连接 方向 


(8) AP 有 线 链 路 正常 .以 太 口 流量 正常 
如 果 无 线 业 务 走 集中 转发 ,需要 检查 AP 到 AC 链 路 是 否 丢 包 和 延迟 拌 动 。 如 果 无 线 业 
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2G-ANTI SG-ANTI TR 


pira 2 ks; 2 TR 
TR [> 2G-ANT2 H3C SG-ANT2 


WA2620X 


网 口 侧 
= 


图 7-15 WA2620X 天 线 的 极 化 连接 方向 


务 走 本 地 转发 ,比如 走 BAS 通过 PPPoE 拨号 上 网 ,就 需要 检查 AP 到 BAS 的 有 线 链 路 是 否 
有 丢 包 和 延迟 抖动 (可 以 在 AP 上 创建 三 层 业 务 VLAN 接口 ,配置 IP 地 址 测试 链 路 ) 。 

命令 : ping -s 1472 -f x.x. x.x 

例如 : ping 1472 字 节 包 CMTU 1500) ,强制 不 分 片 ,检测 AP 到 BAS 链 路 是 否 丢 包 。 


< AC> ping -s 1472 -f 117.130.195.46 
PING 117.130.195.46: 1472 data bytes, press CTRL_C to break 
Reply from 117.130.195.466: bytes=1472 Sequence=1 ttl=21 time=20 ms 
Reply from 117.130.195.46: bytes=1472 Sequence=2 ttl=21 time=20 ms 
Reply from 117.130.195.46: bytes=1472 Sequence=3 ttl=21 time=20 ms 
Reply from 117.130.195.46: bytes=1472 Sequence=4 ttl=21 time=20 ms 


另外 ,还 需要 关注 下 AP 有 线 口 流量 : 如 果 流 量 较 大 ,比如 超过 15Mbps, 说 明 无 线 业务 整 
体 基本 可 用 ,但 无 线 链 路 可 能 存在 拥塞 ,部 分 CPE 体验 可 能 较 差 ,建议 降低 单 CPE 限 速 门 限 
Bf; 如 果 流 量 非常 小 ,比如 上 下 行 共 不 到 5Mbps, 说 明 业 务 受阻 比较 严重 ,这 就 需要 进一步 
排查 链 路 瓶颈 在 有 线 还 是 无 线 侧 。 

命令 : display inter face 

例如 : 查看 AP 以 太 口 上 下 行 流量 。 


< AP>4isplay interface 
GigabitEthernet1/0/1 current state: Up 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: c4ca-d99b-88e0 
Description: GigabitEthernet1/0/1 Interface 
Loopback is not set 
Media type is twisted pair, promiscuous mode set 
100Mbps-speed mode, full-duplex mode 
Link speed type is autonegotiation, link duplex type is autonegotiation 
The Maximum Frame Length is 1600 
PVID: 1 
Port link-type: trunk 
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VLAN passing: 1(default vlan), 1004 
VLAN permitted: 1(default vlan), 2-4094 
Trunk port encapsulation: IEEE 802.1q 
Port priority: 0 
Last clearing of counters: Never 
Last 300 seconds input:341 packets/sec 478806 bytes/sec 4% 
Last 300 seconds output:236 packets/sec 21657 bytes/sec 0% 
Input (total): 3050778893 packets, 3307536728112 bytes 
3048227174 unicasts, 2048133 broadcasts, 503586 multicasts, - pauses 
Input (normal): 3050778893 packets, 3307536728112 bytes 
3048227174 unicasts, 2048133 broadcasts, 503586 multicasts, - pauses 
Input: 0 input errors, 0 runts, 0 giants, - throttles 
0 CRC, 0 frame, 0 overruns, 0 aborts 
0 ignored, - parity errors 
Output (total): 2618635823 packets, 680308489268 bytes 
2616812898 unicasts, 351695 broadcasts, 1467547 multicasts, - pauses 
Output (normal) : 2618632140 packets, 680301126430 bytes 
2616812898 unicasts, 351695 broadcasts, 1467547 multicasts, - pauses 
Output: 3683 output errors, 0 underruns, 0 buffer failures 
3683 aborts, 0 deferred, 0 collisions, 0 late collisions 


(9) 检查 有 线 链 路 丢 包 控制 广播 组 播 流量 

如 果 定 位 到 有 线 链 路 存在 丢 包 和 较 大 的 延迟 抖动 , 则 需要 先 排除 掉 有 线 网 络 的 故障 ,比如 
以 太 口 存 在 错 包 、 上 联 交 换 机 丢 包 等 。 

还 有 一 种 可 能 情况 是 有 线 网 络 存 在 环 路 导致 广播 风暴 引起 丢 包 。 可 以 通过 查看 有 线 口 广 
播 , 组 播报 文 占 比 来 分 析 定 位 。 如 果 广 播 和 组 播报 文 占 比 超过 30% ,就 需要 进一步 排查 具体 
原因 。 
MS: display inter face 


例如 : 查看 AP 以 太 口 广播 .组 播报 文 占 比 情况 。 


< AP>4isplay interface 
GigabitEthernet1/0/1 current state: Up 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: c4ca-d99b-88e0 
Description: GigabitEthernet1/0/1 Interface 
Loopback is not set 
Media type is twisted pair, promiscuous mode set 
100Mbps-speed mode, full-duplex mode 
Link speed type is autonegotiation, link duplex type is autonegotiation 
The Maximum Frame Length is 1600 
PVID: 1 
Port link-type: trunk 
VLAN passing : l(default vlan), 1004 
VLAN permitted: 1(default vlan), 2-4094 
Trunk port encapsulation: IEEE 802. 1q 
Port priority: 0 
Last clearing of counters: Never 
Last 300 secondsinput: 341 packets/sec 478806 bytes/sec 4% 
Last 300 seconds output: 236 packets/sec 21657 bytes/sec 0% 
Input (total): 3050778893 packets, 3307536728112 bytes 
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3048227174 unicasts, 2048133 broadcasts, 503586 multicasts, - pauses 
Input (normal): 3050778893 packets, 3307536728112 bytes 

3048227174 unicasts, 2048133 broadcasts, 503586 multicasts, - pauses 
Input: 0 input errors, 0 runts, 0 giants, - throttles 

0 CRC, 0 frame, 0 overruns, 0 aborts 

0 ignored, - parity errors 
Output (total) : 2618635823 packets, 680308489268 bytes 

2616812898 unicasts, 351695 broadcasts, 1467547 multicasts, - pauses 
Output (normal): 2618632140 packets, 680301126430 bytes 

2616812898 unicasts, 351695 broadcasts, 1467547 multicasts, - pauses 
Output: 3683 output errors, 0 underruns, 0 buffer failures 

3683 aborts, 0 deferred, 0 collisions, 0 late collisions 


(10) 检查 AP 空 口 利用 率 并 完成 优化 
查看 AP 空 口 利用 率 。 

MS: display ar5drv 2 channelbusy 
例如 : 查看 radio 2 的 空 口 利 用 率 。 


[AP-hidecmd] display ar5drv 2 channelbusy 

ChannelBusy information 
Ctl Channel : 11 Channel Band: 20M 
Ext Channel: 
Record Interval(s): 9 
Date/ Month/ Year: 09/03/2015 

Time(h/m/s): CtlBusy(%) TxBusy(%) RxBusy(%) ExtBusy(%) 

01 14:14:54 19 Į 17 0 
02 14:14:45 20 1 18 0 
03 14:14:36 16 1 14 0 
04 14:14:27 30 14 14 0 
05 14:14:18 20 1 18 0 
06 14:14:09 19 Į 16 0 
07 14:14:00 19 1 iyd 0 
08 14:13:51 20 2 18 0 
09 14:13:42 18 :1 16 0 
10 14:13:33 22 20 0 
11 14:13:24 22 1: 19 0 
12 14:13:15 23 1 20 0 
13 14:13:06 24 3 20 0 
14 14:12:57 20 2 17 0 
15 14:12:47 22 2 19 0 
16 14:12:38 22 3 18 0 
17 14:12:29 19 1 16 0 
18 14:12:20 20 1 18 0 
19 14:12:11 alj 1 15 0 
20 14:12:02 19 2 15 0 


几 种 常见 的 故障 情况 分 析 及 处 理 建议 如 下 。 


@ RxBusy— TxBusy, RxBusy + TxBusy 总 和 达到 80 以 上 。 例 如 RxBusy 平均 80, 
TxBusy 小 于 5。 此 种 情况 属于 典型 的 WLAN 内 部 干扰 , 即 同 频 AP 之 间 互 相 可 见 ,竞争 一 个 
信道 介质 ,导致 空 口 利用 率 RX 方向 异常 偏 高 。 解 决 的 办 法 包括 合理 的 信道 规划 、 功 率 规划 、 
关闭 RRM 低速 率 、 关 闭 广播 Probe 应 答 和 调 大 Beacon 帧 间隔 、 二 层 隔 离 等 。 建 议 按照 4 技 基 
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© RxBusy 和 TxBusy 相差 不 多 ,RxBusy 十 TxBusy 总 和 达到 80 以 上 。 例 如 RxBusy 平 
EJ 50,TxBusy 平 均 40 左右 。 此 种 情况 下 一 般 体验 尚 可 ,如 果 仍 有 终端 上 网 慢 ,最 有 可 能 的 原 
因 是 无 线 CPE 数量 过 多 ,或 者 部 分 CPE 业务 量 较 大 ,占用 了 过 多 带宽 。 建 议 开启 终端 限 速 或 
者 扩容 增加 AP 解决 。 

@ RxBusy 一 一 TxBusy,RxBusy 十 TxBusy 总 和 达到 80 以 上 。 例 如 TxBusy 平均 80, 
RxBusy 小 于 5。 此 种 情况 说 明 AP 下 行 方向 发 包 受 阻 。 在 室外 CPE 应 用 中 较为 常见 。 发 生 
这 类 故障 时 ,一 般 伴随 着 Client Verbose 信息 中 TX 协商 速率 低 , 即 AP 发 送 给 CPE 的 帧 经 常 
丢失 ,进而 降 速 重 传 ,最 后 导致 AP 发 送 的 帧 都 是 低速 巾 。 低 速 帧 会 大 量 消耗 空 口 资源 ,进而 
导致 CPE 体验 集体 变 差 。 

遇 到 这 种 情况 ,可 以 先 观察 该 AP 下 的 CPE 信号 强度 ,如 果 RSSI 都 在 30 以 上 , 则 可 以 尝 
试 在 AP 侧 通过 强制 TX 高 速率 解决 ,11n 情况 下 建议 尝试 MCS 13。 

命令 : ar5drv 2 fizrate unidata rate-lln MCS 13 

ar5dro 2 fixrate enable 


例如 : 配置 AP 的 下 行 TX 速率 为 MCS 13. 


[WA2620X-hidecmd]ar5drv 2 fixrate unidata rate-lln MCS 13 
[WA2620X-hidecmd]ar5drv 2 fixrate enable 


在 20M 频谱 带宽 .2 条 空间 流 的 情况 下 ,MCS 与 物理 速率 的 对 应 关系 如 表 7-5 HR 


表 7-5 MCS parameters for optional 20MHz, Nss=2,Nss=1,EQM 


Data rate( Mbps) 
MCS Index | Modulation | R Napscsciss > | Nso | Nsp | Ncaps | Nopaps 
800ns GI | 400ns GI(see NOTE) 

8 BPSK 1*2 T 52 4 104 52 13.0 14.4 
9 QPSK 1/2 2 52 4 208 104 26. 0 28. 9 
10 QPSK 3/4 2 52 4 208 156 39. 0 43. 3 
11 16-QAM |1/2 4 52 4 416 208 52.0 57.8 
12 16-QAM | 3⁄4 4 52 4 416 312 78.0 86.7 
13 64-QAM | 2/3 6 52 4 624 416 104.0 115.6 
14 64-QAM | 3⁄4 6 52 4 624 468 117.0 130.0 
15 64-QAM | 5/6 6 52 4 624 520 130.0 144.4 


NOTE 一 The 400ns GI rate values are rounded to 1 decimal place 


@ 还 有 一 种 导致 空 口 体验 差 的 情况 是 存在 非 WLAN 干扰 ,但 非 WLAN 干扰 存在 的 证 据 
不 明显 。 从 空 口 利用 率 上 看 , 当 CtlBusy 大 大 超出 RxBusy 和 TxBusy 总 和 时 ,可 以 认为 是 非 
WLAN 干扰 存在 的 一 个 证 据 。 常 见 的 非 WLAN 干扰 源 有 如 无 线 摄像 头 、 靠 得 太 近 的 3G/4G 
基站 等 (室外 AP 要 求 与 3G/4G 基站 天 线 距离 保持 在 5m 以 上 )。 

当 怀 疑 存在 非 WLAN 干扰 时 ,可 以 用 排除 法 来 证 明 。 即 先 排除 周边 的 WLAN 干扰 源 ， 
比如 关闭 周边 AP, 并 使 用 omnipeek 抓 包 发 现 无 法 抓 取 Wi-Fi 报 文 。 如 果 此 种 情况 下 仍然 存 
在 CtlBusy 异常 高 ,可 以 作为 外 部 干扰 存在 的 证 据 。 

(11) 收集 AP 诊断 、ar5 信息 以 及 CPE link-test 信息 

收集 AP 诊断 .CPE link-test 及 CPE client verbose 信息 ,联系 400 热线 处 理 。 
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< AP>4isplaydiagnostic-information 
[AP]_hidecmd 

[AP-hidecmd]display ar5drv 2 radio 
[AP-hidecmd]display ar5drv 2 statistics 
[AP-hidecmd]display ar5drv 2 reset-log 
[AP-hidecmd]display ar5drv 2 bss all 
[AP-hidecmd]display ar5drv 2 channelbusy 
[AP-hidecmd]display ar5drv 2 calibration 
[AP-hidecmd]display ar5drv 2 queue all 
[AP-hidecmd]display ar5drv 2 client all status 
[AP-hidecmd]display ar5drv 2 client all rssi 
[AP-hidecmd]display ar5drv 2 nf 
[AP-hidecmd]display ar5drv 2 ani 


上 述 信息 隔 1 分 钟 再 收集 一 次 , 共 收 集 两 次 。 


< AC>4display wlan client mac-address XXXX-XXXX-XXXX verbose 
<AC> lan link-test XXXX-XXXX-XXXX //£# RJL, ERA ER RAE 
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7.1.15 无 线 CUPID 定位 故障 排查 步骤 详解 
1. 开始 


基于 WLAN 的 无 线 定位 有 多 种 技术 实现 途径 ,有 基于 信号 传播 模型 的 RSSI 三 角 定位 、 
RSSI 指纹 定位 ,以 及 H3C 私有 的 基于 RTT 光 传 输 时 延 的 三 角 定位 (CUPID)。 本 云图 专门 
针对 CUPID 定位 的 故障 排查 和 处 理 。 为 保证 定位 精度 ,无 线 CUPID 定位 对 AP 部 署 \ 信 号 强 
度 都 有 别 于 普通 Wi-Fi 部 署 的 要 求 。 在 定位 这 类 故障 时 ,首先 检查 硬件 部 署 ,确认 AP 能 正确 
发 送 定位 报 文 ,服务 器 定位 进程 是 否 正 常 启 用 并 收发 定位 报 文 ; 其 次 就 是 检查 无 线 网 络 环境 
及 服务 器 配置 ,提高 定位 精度 。 

2. 流程 图 相关 操作 说 明 

(1) AP 信号 强度 检查 

只 有 当 大 多 数 区 域 点 位 都 能 收 到 4 个 及 以 上 AP 的 Beacon 信号 ,并 且 强 度 大 于 一 75dBm， 
方 能 保证 较 好 的 定位 效果 。 所 以 定位 要 求 AP 有 一 定 的 部 署 密度 。 

(2) AP 天 线 安装 检查 

推荐 使 用 普通 全 向 天 线 , 这 类 天 线 的 辐射 方向 图 比较 稳定 , 且 水 平 波状 图 接近 于 圆 形 , 如 
图 7-16 所 示 。 


7-16 普通 全 向 天 线 


对 于 有 智能 天 线 的 AP, 比 如 WA2620i-AGN、WA3620i-AGN 等 ,建议 关闭 智能 天 线 
功能 。 
命令 : undo smart-antenna enable 


例如 : 关闭 AP 智能 天 线 。 


# 
wlan ap b1-a01-i-2 model WA2620i-AGN id 102 
serial-id 210235A1BSC147001281 
undo broadcast-probe reply 
rfid-tracking engine-address 10.100.56.225 
radio 1 type dotllan 
channel 149 
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service-template 2 vlan-id 80 
undo smart-antenna enable 
radio enable 
radio 2 
channel 1 
service-template 2 vlan-id 80 
undo smart-antenna enable 
radio enable 


# 


(3) AP 部 署 检 查 

当 AP 的 部 署 不 满足 信和 号 强度 的 要 求 时 ( 即 大 多 数 区 域 都 能 收 到 4 个 及 以 上 AP 的 
Beacon 信号 并 且 强 度 大 于 一 75dBm 的 要 求 ) ,就 需要 考虑 是 否 增加 AP 以 及 调整 AP 的 部 署 
位 置 。 

O AP 部 署 距离 。 为 了 保证 AP 的 定位 精度 在 5m 以 内 ,我 们 要 求 在 进行 AP 部 署 的 时 
候 , 需 要 做 到 相 邻 AP 之 间 的 间隔 小 于 15m, 保 证 至 少 4 个 AP 可 以 覆盖 到 测试 STA , 

@ 施工 图 纸 要 和 定位 用 CAD 图 完全 对 应 。 施 工 图 纸 的 实际 AP 位 置 要 准确 ,如 果 有 可 
能 , 拉 网 线 时 要 留 有 一 定 的 余 量 ,方便 后 期 进行 点 位 微调 。 和 否则 事后 再 处 理 操 作 会 比较 

@ 不 同 楼 层 之 间 注 意 类 似 天 井 那 样 的 上 下 楼 层 通 透 的 地 方 , AP 部 署 的 位 置 尽量 远离 这 
些 区 域 。 针 对 扶梯 、 天 井 等 区 域 ,在 部 署 时 为 了 避免 定位 错 楼 层 , 通 常 需要 避 开 这 些 通 透 区 域 
一 定 的 距离 。 

© 安装 高 度 不 宜 过 高 ,尽量 控制 在 3m 左右 。AP 安装 的 附近 不 要 有 明显 的 遮挡 物 ,如 金 
属 等 ,尽量 让 AP 的 信号 能 够 直射 定位 区 域 。 

© AP 禁止 安装 在 天 花 板 内 部 ,防止 信号 衰减 太 厉害 。 

(4) 能 显示 位 置信 息 但 精度 不 高 

确认 故障 的 类 别 ,是 完全 无 法 生成 定位 信息 还 是 仅仅 是 定位 精度 不 够 高 ,比如 误差 普遍 在 
15m 以 上 。 两 类 故障 的 定位 思路 完全 不 同 : 对 于 完全 无 法 生成 定位 信息 的 情况 ,就 需要 排查 
AC 的 定位 基础 配置 .AP 型 号 是 否 支持 定位 ,以 及 定位 服务 器 配置 是 否 正确 。 

(5) 检查 设备 型 号 及 定位 基本 配置 

O 支持 无 线 定位 的 设备 情况 (截至 2015 年 6 H). CUPID 当前 只 支持 11n 系列 产品 ,其 
他 未 列 进 表 格 中 的 11n 型 号 只 要 射频 芯片 型 号 符合 条 件 也 可 以 ; 部 分 较 老 的 11n 产品 (如 采 
用 9160 芯片 ) 不 支持 。 总 的 原则 ,只 要 是 较 新 推出 的 11n 产品 (包括 降 成 本 包装 的 ?都 可 以 支 
持 。11AC 产品 CUPID 特性 正在 开发 ,将 来 会 支持 。 支 持 CUPID 定位 的 AC 列举 如 表 7-6 
所 示 。 


表 7-6 支持 CUPID 定位 的 AC 举例 


WX3000E, WX5004 , WX6000 系列 及 择 卡 .WX5500E、WX3500E 


支持 无 线 CUPID 定位 的 AC | 目前 只 在 CMW V5 上 支持 ,B109D035 及 以 上 版 本 
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支持 CUPID 定位 的 AP 列举 如 表 7-7 所 示 。 
表 7-7 支持 CUPID 定位 的 AP 举例 


类 型 产品 型 号 CUP 2.4G 5G 
WA2620FAGN AR9350 SOC AR59392 
第 二 代 11n 产品 新 SOC WA2610LGN AR9350 SOC 
WA2600V100R003 WA1208E-ENP AR9350 SOC 
WA2610E-GNP AR9350 SOC 
WA2620E AR9344 SOC AR9582 
WA2610E AR9344 SOC 
二 代 lln 产品 SOC 
f ella GUY BLE WA2620X AR9350 SOC AR9592 
WA2600V100R005 
WA2610X AR9350 SOC 
WA2612 AR9344 SOC 
WA3628i-AGN P1011 AR9390 AR9390 
一 代 450Mlln 产品 
第 一 代 ks WA3620FAGN P1011 AR9390 AR9390 
WA3600V100R001 : 
WA3610i-GN P1011 AR9390 AR9390 
AP 
TAA WA2610H-GN AR9341 AR9341 NA 
WA2600V100R006 


© 无 线 CUPID 定位 的 基础 配置 。 定 位 是 否 启用 ,AP 上 报 定 位 信息 功能 是 否 启 用 ,配置 
CUPID 定位 模式 ,AP 模板 下 是 否 正确 配置 iMC 定位 服务 器 的 地 址 ,验证 AP 和 iMC 通信 是 
否 正常 


<AC> system-view 

[AC] wlan rfid-tracking enable 

[AC] wlan rfid-tracking cupid ap-report enable 

[AC] wlan rfid-tracking engine-type general mode cupid 
[AC-wlan-ap-officeap1] rfid-tracking engine-address xx. xx. xx. xx 


(6) 检查 AP debug 并 在 服务 器 上 抓 包 确认 AP 发 送 定位 包 
通过 远程 登录 到 AP 上 打开 CUPID 报 文 信息 和 WLAN AS-Location 信息 。 如 果 能 抓 到 
相关 debug ,说 明 AP 能 正常 发 送 定 位 包 。 
MA: [AP01-hidecmd ]debugging ar5drv 1/2 cupid info 
[AP01-hidecmd debugging ar5drv 1/2 cupid error 
<AP01 >debugging wlan as-location all 
telminal debugging 


telminal monitor 


*Mar 417:21:00:991 2015 f2-a01--1 WASL/7/EVENT : 

Client 4cac-0a45-5043 rssi is 47 and nf is 106. 

* Mar 417:21:00:991 2015 f2-a01--1 WASL/7/FRAME : Put MU message into the queue. 

x Mar 417:21:00:995 2015 f2-a01-+-1 WASL/7/EVENT :WASL begin to send frame to server. 
*Mar 417:21:00:996 2015 f2-a01--1 WASL/7/EVENT : 

WASL report ip address is 10. 100. 56.225. 

* Mar 417:21:00:996 2015 f2-a0l-Fl WASL/7/EVENT : 

WASL report port is 1144. 
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*Mar 417:21:00:996 2015 f2-a0l-i1 WASL/7/ VERBOSE : AE message: 
00 01 01 26 18 e8 5a 48 00 01 00 01 4c ac 0a 45 
50 43 74 25 8a 86 fO a0 02 00 74 25 8a 86 f0 bO 
00 00 Ob 00 ba b6 bl fl c5 96 00 50 00 21 00 00 
2d la 8c 01 1b ff 00 00 00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 00 00 00 00 33 la 8c 01 
1b ff 0 
* Mar 417:21:00:997 2015 f2-a0l-i-1 WASL/7/EVENT : WASL send frame to server. 
* Mar 417:21:00:997 2015 f2-a01-i-1 WASL/7/EVENT :Send message to AE successfully. 
*Jun 7 21:58:51:061 2015 ap3 WDP/7/debug2: 
Tx:Sta_mac_addr= 18F6431B38F5, channel=161, tod=7649, retries=0, Tx_status=4 
*Jun 7 21:58:51:061 2015 ap3 WDP/7/debug2: 
SendMsg to Server:Sta_mac_addr= 18F6431B38F5, channel=161, tod= 13281, toa= 14951, toa-tod= 
1670, numOfChains=3, rssil =27 , rssi2= 38, rssi3=43 
*Jun 7 21:58:51:062 2015 ap3 WDP/7/debug2 : 
Tx:Sta_mac_addr= 18F6431B38F5, channel=161, tod=63147, retries=0,Tx_status=4 
*Jun 7 21:58:51:062 2015 ap3 WDP/7/debug2: 
Tx:Sta_mac_addr= 18F6431B38F5, channel=161, tod=103472, retries=0, Tx_status=4 
*Jun 7 21:58:51:062 2015 ap3 WDP/7/debug2: 
Tx:Sta_mac_addr= 18F6431B38F5, channel=161, tod=127772, retries=0, Tx_status=4 


通过 在 AP 上 行 口 或 者 直接 在 服务 器 上 抓 包 也 能 判断 ,AP 发送 定位 报 文 的 目标 IP 地 址 
为 定位 引擎 服务 器 IP 地 址 ,端口 号 1144。 基 于 Wireshark 的 CUPID 协议 解析 的 插件 
(“DMP” 一 “技术 支持 中 心 ” 一 “01IP 网 络 产品 ?一 “20 无 线 产 品 ” 一 “13 无 线 定 位 ”一 
“02CUPID 定位 ”) ,能 够 快速 分 析 , 如 图 7-17 所 示 。 


2. 0-D-Fdfabdia from master-1.12)] 


s 


o Vey sr Br ce RUMS. me taa les, PES pm mooner. avy ws vemecs 
9 0.056015000 10.154.131.228 10.153.48.54. cupid i3! ac: 
0 0.056106000 10.154.131. 228 10.153,48. 54 PRH Cupid Zupid eh Rp ara as: 
L 0.056276000 10.154.131.228 10.153.48.54 — amd z 36, m_sta_mac: 
2 0.056296000 10.154.131.228 10.153.48.54 cupid 

3 0.056461000 10.154.131.228 10.153.48.54 cupid 508 resp_pkt, 

4 0.056485000 10.154.131.228 10.153.48.54 cupid 508 resp_pkt, 

5 0.058233000 10.154.131.228 10.153,48. 54 cupid 508 resp_pkt, 

6 0.058312000 10.154.131.228 10.153.48.54 cupid 508 

30.0 10.154.131.212 cupid 1 
70.1: 10.154.131.214 cupid ] 
80.1: 10.154.131.216 cupid 1 
1 0.163045000 10.153.48.54 10.154.131.215 cupid 1 
5 0.184739000 10.153.50.39 10.153.48. 54 cupid 

5 0.251649000 10.154.131.214 10.159.48.54 cupid 

30. 10.153. 50.96 z cupid 

50. cupid 


图 7-17 基于 Wireshark 的 CUPID 协议 解析 


三 类 CUPID 报 文 如 下 。 
CUPID. report AP 主动 上 报关 联 终端 的 报 文 。 
CUPID. req 服务 器 给 AP 发 送 的 测量 请 求 报 文 。 
CUPID. resp AP 给 服务 器 回应 的 测量 报 文 。 
(7) 检查 定位 服务 器 配置 
检查 定位 服务 器 上 的 IMC 定位 进程 是 否 启用 ,检查 定位 服务 器 近期 有 没有 调整 过 配置 , 
包括 是 否 有 IP 地 址 变更 .定位 参数 调整 等 。 检 查 定位 服务 器 到 AP 的 网 络 路 由 是 否 可 达 
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O 定位 进程 imclocatedm 和 调度 进程 imclocatemgrdm 正常 启用 ,如 图 7-18 所 示 。 


° dnan. oze 已 经 启动 本 机 
o inc3gsmin. exe 已 经 启动 本 机 
9 incacldn. exe 已 经 启动 本 机 
o incapmedn. exe 已 经 启动 本 机 
° incbmdn. exe 已 经 启动 本 机 
o imecfebakdn exe 已 经 启动 本 机 
° iacciada. eze 已 经 启动 本 机 
o incondngr dn. exe 已 经 启动 本 机 
o imefeultdn exe 已 经 启动 本 机 
° inciccdn. eze 已 经 启动 本 机 
° iacimventerydn. eze 已 经 启动 本 机 
° imcjsbmgrdn exe 已 经 启动 

F incl2topodn. exe 2 es; 

, 

© 


° 
7-18 定位 进程 imclocatedm 和 调度 进程 imclocatemgrdm 正常 启用 


@ 检查 定位 配置 文件 。 配 置 文件 (“iMC” 一 “server”>“conf”>“imc_locate. conf”) 中 参 
数 主要 用 于 定位 系统 调 优 和 问题 分 析 , 正 常情 况 下 不 需要 修改 。MaxLocateApSquareDis 为 
最 远 的 两 个 AP 距离 的 平方 ,默认 为 MaxLocateApSquareDis 一 900, 即 参与 定位 的 4 个 AP 中 相 
邻 最 远 的 两 个 AP 距离 为 30m, 如 图 7-19 所 示 。 若 为 40m, 则 设置 MaxLocateApSquareDis = 
1600, 


图 7-19 相 邻 最 远 的 两 个 AP 距离 为 30m 


(8) 无 线 网 络 优化 并 检查 服务 器 日 志 

O 定位 过 程 是 通过 AP 发 送 低速 报 文 来 进行 计算 的 ,而 低速 报 文 在 发 送 过 程 当 中 对 空 口 
资源 的 消耗 是 比较 大 的 ,发 送 过 程 中 也 会 因为 竞争 和 干扰 等 问题 降低 了 定位 报 文 的 发 送 成 功 
率 ,参考 无 线 通 用 优化 指导 对 空 口 进行 监控 并 优化 。 

@ 检查 服务 器 定位 日 志 。 

通过 “iMC” 一 “server” 一 “conf” 一 “log” 一 “imclocatedm. txt” 日 志 分 析 原 因 , 查找 
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“locateAP” 关 键 字 ,检查 参与 定位 的 AP 数 是 否 至 少 为 4 个 。 
(表示 如 果 某 个 sta 关联 在 oAssAp: apnamel 上 ,那么 参与 定位 的 AP 为 locateAP: 


apnamel apname2 apname3 apname4。) 


2015-05-30 13:10:24.118 [INFO (0)] [THREAD(9224)] [CLocateProcessor: :addMasterSubMap] 
(Info) oAssAp: test2 locateAP: test3 test2 test5 test4 
2015-05-30 13:10:24.118 [INFO (0)] [THREAD(9224)] [CLocateProcessor: : addMasterSubMap] 
(Info) oAssAp: test3 locateAP: test3 test2 test5 // 参 与 定位 的 AP 数 少 于 4 个 ,检查 test4 的 覆盖 情况 
2015-05-30 13:10:24.118 [INFO (0)] [THREAD(9224)] [CLocateProcessor: : addMasterSubMap] 
(Info) oAssAp: test4 locateAP: test3 test2 test5 test4 
2015-05-30 13:10:24.118 [INFO (0)] [THREAD(9224)] [CLocateProcessor: : addMasterSubMap] 
(Info) oAssAp: test5 locateAP: test3 test2 test5 test4 


D 收集 信息 

D 服务 器 侧 打 开 debug FÆ .“iMC”—>“server”—>“conf”—>“imc_locate. conf” 设 置 如 下 。 

DebugSta= all 

PrintSendMsg= true 

© AC 配置 信息 、AP 空 口 信息 。 

@ iMC 定位 效果 截图 (显示 MAC 地 址 ) 。 

@ 收集 服务 器 iMC\server\conf\log\ 目 录 下 文件 imclocatemgrdm 和 imclocatedm 和 imc@N 
server\conf\POS\ 目 录 下 所 有 的 文件 。 

@ 收集 WSM 服务 器 上 的 5MB 以 内 的 抓 包 。 

将 以 上 信息 反馈 800 处 理 。 
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7.1.16 无 线 非 WLAN 干扰 故障 排查 步骤 详解 


1. 开始 

无 线 非 WLAN 干扰 定位 故障 的 思路 是 : 先 检 查 AP 空 口 利 用 率 是 否 具有 显著 的 非 
WLAN 干扰 特点 ,再 通过 滤波 器 ,频谱 分 析 仪 .检查 现场 环境 等 方法 验证 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 AP 射频 口上 各 信道 的 空 口 利用 率 是 否 过 高 

登录 到 AP 上 进入 隐藏 模式 查看 2. 4G 射频 各 信道 (1、6、11) 的 空 口 利用 率 信息 是 否 过 高 ， 
CtlBusy 的 值 是 否 高 于 60. 

命令 : 

O 登录 到 AP 上 进入 隐藏 模式 。 

[H3C] _hide 

@ 查看 AP 当前 信道 的 空 口 利 用 率 。 

[H3C-hidecmd ] display ar5 2 channelbusy 

例如 : 通过 命令 查看 指定 AP 当前 信道 的 空 口 利 用 率 。 


[11f04-hidecmd] display ar5 2 channelbusy 

ChannelBusy information 

Ctl Channel : 06 Channel Band: 20M 
Ext Channel: 

Record Interval(s): 9 

Date/ Month/ Year: 13/05/2015 

Time(h/m/s): CtlBusy(%) TxBusy(%) RxBusy(%) ExtBusy(%) 

01 07:20:59 80 6 26 0 
02 07:20:50 87 6 25 0 
03 84 6 22 0 
04 83 6 23 0 
05 89 6 29 0 
06 80 6 29 0 
07 83 7 21 0 
08 86 9 20 0 
09 85 6 23 0 
10 80 6 24 0 
11 82 4 22 0 
12 80 5 22 0 
13 82 0 24 0 
14 85 4 20 0 
15 83 4 22 0 
16 85 4 22 0 
17 86 4 26 0 
18 : 80 4 20 0 
19 07:18:17 57 4 47 0 
20 07:18:08 54 4 46 0 


(2) 查看 空 口 利 用 率 中 数据 是 否 具有 典型 非 WLAN 干扰 特征 

查看 AP 当前 信道 空 口 利 用 率 中 CtlBusy 的 数值 是 否 远 大 于 Tx 与 Rx 之 和 。 一 般 差 值 
大 于 30% 即 为 非 WLAN 干扰 的 典型 特征 。 

例如 : 通过 命令 查看 ,当前 AP 的 空 口 利用 率 CtlBusy 已 经 大 于 60% ,属于 信道 繁忙 , 且 
Ctlbusy 的 数值 远大 于 Tx 与 Rx 之 和 。 
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Record Interval(s): 9 
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[11f04-hidecmd] display ar5 2 channelbusy 
ChannelBusy information 
Ctl Channel: 


06 Channel Band: 20M 


:59 
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(3) 现场 测试 验证 存在 非 WLAN 的 无 线 干 扰 


由 于 无 线 环 


O 使 用 频谱 


境 较 为 脆弱 + 
WLAN 的 干扰 , 若 怀 疑 是 非 WLAN 的 干扰 可 以 采用 下 列 方式 进行 确认 。 

通过 使 用 专业 的 无 线 勘 测 仪器 
.4G 临近 频段 的 信号 波动 。 


分 析 仪 扫描 现场 无 线 环境 。 
配合 高 性 能 天 线 对 现场 无 线 环境 


尤其 是 2. 


进行 勘测 ,尤其 是 2 


4G 频段 干扰 源 较 多 


;运营 商 4G 微波炉 等 都 会 造成 对 


强烈 的 电磁 波 信号 ,可 以 判断 临近 有 较为 强烈 的 干扰 源 ,如 图 


7-20 ”频谱 分 析 仪 


7-20 所 示 。 
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@ 通过 在 现 有 AP 上 加 装 滤波 器 ,对 比 加 装 前 后 的 空 口 利用 率 来 确认 非 WLAN 干扰 源 。 
滤波 器 属于 有 源 设 备 ,需要 加 装 在 AP 与 天 线 之 间 ,通过 过 滤 固定 频段 的 电磁 波 来 达到 屏蔽 干 
扰 的 效果 ,市 面 上 滤波 器 的 规格 参差 不 齐 , 一 般 选 取 过 滤 2. 4GHz 临近 频段 的 滤波 器 为 宜 ,如 
图 7-21 所 示 。 


图 7-21 滤波 器 


O 通过 现场 观察 与 交流 确认 是 否 存 在 非 WLAN 的 干扰 源 。 通 过 对 现场 的 观察 ,如 果 AP 
部 署 的 临近 有 明显 的 非 WLAN 干扰 源 ,比如 运营 商 天 线 或 微波 炉 等 ,尤其 是 无 线 使 用 问题 出 
现 前 后 环境 有 变动 ,比如 运营 商 开 了 4G, 则 可 以 判断 现场 存在 非 WLAN 的 无 线 干扰 ,如 
图 7-22 所 示 。 


图 7-22 3E WLAN 的 干扰 源 
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07 无 线 产 品 > z ac À 7.1.17 无 线 控制 器 VRRP 故障 排查 步骤 详解 


1. 开始 

首先 观察 备份 组 VRRP 状态 是 否 稳定 。 如 果 状 态 稳定 , 则 先 检查 VRRP 接口 实 IP 地 址 
能 否 互 通 , 青 检查 VRRP 配置 是 否 正确 ,最 后 查看 协议 报 文 的 发 送 状 况 ; 如 果 状 态 频繁 切换 ， 
则 先 检查 收发 VRRP 报 文 所 在 VLAN 的 二 层 链 路 是 否 稳定 ,再 检查 CPU 占用 率 是 否 正常 ， 
最 后 检查 VRRP 报 文 发 送 时 间 间 隔 是 否 过 短 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 VRRP 状态 是 否 稳定 
路 由 器 在 备份 组 中 的 状态 可 以 为 Master、Backup 和 Initialize。 检 查 VRRP 状态 是 否 存 
在 Master/Backup 频繁 切换 的 情况 。 

命令 : display vrrp 

例如 : 通过 命令 查看 ,可 以 确认 路 由 器 的 VRRP 状态 为 Backup。 


<Backup_DEV>display vrrp 
IPv4 Standby Information: 
Run Mode: Standard 
Run Method: Virtual MAC 
Total number of virtual routers : 1 


Interface VRID State Run Adver Auth Virtual 
Pri Timer Type IP 
Vlan1 1 Backup 100 11 Simple 1.1.1.254 


(2) 查看 是 否 多 个 路 由 器 VRRP 状态 处 于 Master 


分 别 查看 每 台 路 由 器 备份 组 的 VRRP 状态 信息 ,是否 备份 组 中 存在 多 个 路 由 器 VRRP 状 
态 处 于 Master。 


(3) 检查 接口 是 否 Up 
检查 运行 VRRP 的 VLAN 虚 接 口 是 否 Up。 
MS: display interface interface-type interface-number 


例如 : 通过 命令 查看 VLAN 1 三 层 虚 接 口 状 态 是 否 Up。 


Master DEV> display interface Vlan-interface 1 
Vlan-interfacel current state: Down 

Line protocol current state: Down 

Description: Vlan-interfacel Interface 


(4) 检查 VRRP 实 /虚拟 IP 地 址 


确保 运行 VRRP 的 端口 Up 的 前 提 下 ,查看 VRRP 的 虚拟 IP 是 否 与 端口 实 IP 在 同一 
网 段 。 


例如 : 如 果实 IP 与 虚拟 IP 不 在 同一 网 段 , 则 VRRP 状态 为 Initialize。 
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[Master_DEV-Vlan-interfacel] display this 
# 
interface Vlan-interface1 
ip address1.1.1.252 255.255.255.0 
vrrp vrid 1 virtual-ip1 . 1. 100.254 
vrrp vrid 1 virtual-ip 1. 1.100.254 


(5) 检查 接口 IP 地 址 互通 状况 

如 果 互 ping 接口 IP 地 址 不 通 , 主 要 检查 以 下 内 容 。 

O 检查 接口 是 否 Up, 链 路 是 否 故障 。 

© 如 果 物 理 接口 是 Access 端口 ,是 否 与 VRRP 备份 组 属于 同一 VLAN; 如 果 是 Trunk 
或 者 Hybrid 端口 ,端口 的 PVID 是 否 一 致 ,是 否 允 许 VRRP 备份 组 所 在 VLAN 通过 。 

© 端口 下 是 否 开 启 了 认证 .ACL 过 滤 等 安全 功能 。 

(6) 检查 VRRP 配置 是 否 一 至 

主要 检查 内 容 包 括 : 运行 模式 、VRID、VRRP 报 文 发 送 间隔 时 间 、 抢 占 模式 .认证 方式 和 
认证 字 的 配置 是 否 相同 。 

命令 : display vrrp verbose 

例如 : 通过 命令 查看 ,观察 Master 和 Slave 的 相关 参数 是 否 一 致 。 


<Master_DEV display vrrp verbose interface Vlan-interface 1 
IPv4 Standby Information: 
Run Mode : Standard 
Run Method : Virtual MAC 
Total number of virtual routers on interface Vlanl : 1 
Interface Vlan-interfacel 


VRID Ed Adver Timer : 2 
Admin Status z Up State : Master 
Config Pri : 120 Running Pri : 120 
Preempt Mode : Yes Delay Time :0 

Auth Type : Simple Key 1 关 关 关 关 关 关 
Virtual IP : 1.1.1.254 

Virtual MAC : 0000-5e00-0101 

Master IP s 1.1.1.253 


(7) 检查 二 层 链 路 质量 

O 检查 互 连 端 口 是 否 有 错误 报 文 的 增长 。 

@ 检查 链 路 状况 是 否 有 震荡 ,是 否 有 端口 频繁 Up/Down, 

© 使 用 VRRP 接口 的 实 IP 地 址 互 ping 时 是 否 有 回应 超时 。 

@ 如 果 是 光 介质 ,检查 光 衰 减 是 否 在 正常 范围 之 内 。 

(8) 检查 VRRP 报 文 传输 设备 是 否 正 常 

在 中 间 设 备 或 互 连 接口 做 流量 统计 ,检查 是 否 有 VRRP 报 文 从 接口 发 出 或 接收 。 如 果 要 
检查 是 否 正常 发 出 了 VRRP 报 文 , 则 在 接口 的 Outbound 方向 进行 流量 统计 ; 如 果 要 检查 是 
否 正 常 接收 了 VRRP 报 文 , 则 在 接口 的 Inbound 方向 进行 流量 统计 。 

MS: display qos policy interface interface-type interface-number 

例如 : 通过 匹配 目的 地 址 为 224. 0. 0. 18、 协 议 号 为 112 的 VRRP 报 文 ,对 这 一 类 型 的 报 
文 在 接口 下 做 Inbound 方向 流量 统计 .观察 VRRP 报 文 的 接收 情况 是 否 正常 。 
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[H3C] display current-configuration 


acl number 3000 
rule0 permit 112 source 1.1.1.252 0 destination 224. 0.0.18 
# 
traffic classifierACT operator and 
if-match acl 3000 
# 
traffic behaviorACT 
accounting 
# 
qos policyACT 
classifierACT behavior ACT 
# 
interface GigabitEthernet3/0/1 
qos apply policyACT inbound 


[H3C] display qos policy interface GigabitEthernet 3/0/1 
Interface: GigabitEthernet3/0/1 
Direction: Inbound 
Policy: ACT 
Classifier: ACT 

Operator: AND 

Rule(s) : If-match acl 3000 

Behavior: ACT 

Accounting Enable: 
51 (Packets) 
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07 无 线 产品 DeeS 7.2.1 瘦 AP 注册 不 上 故障 排查 步骤 详解 


1. 开始 

FIT AP、AC 是 通过 三 层 IP 网 络 构建 CAPWAP 隧道 来 完成 注册 的 。 所 以 定位 故障 的 思 
路 是 : 先 确 保 AP、AC 在 IP 层 能 正常 通信 ,再 检查 版 本 、 配 置 、License 等 信息 。 

2. 流程 图 相关 操作 说 明 

a) 查看 AP 当前 注册 状态 

命令 : display wlan ap all 

例如 : State 为 “I” 表示 AP 未 上 线 ;“R/M”“R/B” 表 示 AP 已 上 线 , 分 别 为 主 、 备 隧道 。 


<H3C>display wlan ap all 


State :I = Idle, J = Join, JA = JoinAck, IL = ImageLoad 
C = Config, R = Run, KU = KeyUpdate, KC = KeyCfm 


AP Name State Model Serial-ID 

fz_dgl_001 I WA1208E-GP 210235A0A9C094001953 
fz_dgl_002 R/M WA1208E-GP 210235A0A9C094001529 
fz_dgl_003 R/B WA2100 210235A22WB093001434 


(2) AP 上 电 启 动 

如 果 AP 无 法 注册 上 线 ,首先 需要 检查 AP 是 否 成 功 上 电 启动 。 分 两 种 场景 。 

O 现场 定位 。 在 现场 定位 时 ,可 以 直接 通过 观察 AP 电源 指示 灯 , 或 者 观察 接 人 交换 机 
端口 指示 灯 状 态 来 确定 AP 是 否 正常 启动 。 

© 远程 定位 。 在 远程 定位 时 ,可 以 通过 观察 和 AP 同 二 层 网 的 设备 能 否 学 习 到 AP MAC 
地 址 来 辅助 判断 ,如 果 接 人 交换 机 未 能 学 习 到 AP MAC 地 址 ,可 能 是 AP 未 启动 ,或 者 连接 
AP 网 线 存在 故障 。 

命令 : display mac-address 

例如 : 在 接 入 交换 机 上 查看 MAC R, 如果 有 学 习 到 AP MAC 地 址 ,可 以 确定 AP 已 
启动 。 


<=H3C> display mac-address 


MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 
0023-8999-fec0 4000 learned Bridge- Aggregation1 AGING 
0023-8999-fde0 4000 learned Bridge- Aggregation1 AGING 


另外 ,如 果 AP 是 POE 供电 方式 , 则 根据 POE 交换 机 的 供电 情况 也 能 确定 AP 是 否 上 电 
启动 。 
命令 : display poe inter face 
例如 : 查看 POE 交换 机 端口 供电 ,正常 情况 AP 功 耗 会 超过 SW. A AP 可 能 未 正常 
启动 。 
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<SW>-4display poe interface 
Interface Status Priority CurPower Operating IEEE Detection 


(W) Status Class Status 
GE1/0/1 enabled low TRKA on s] delivering-power 
GE1/0/2 enabled low 3:2 on i delivering-power 


如 果 最 终 定位 到 AP 未 启动 , 则 需要 检查 本 地 供电 电源 或 者 POE 交换 机 、 网 线 等 。 必 要 
时 可 以 尝试 替换 网 线 .POE 交换 机 或 者 AP 来 确认 故障 点 。 

(3) AP 获取 管理 地 址 

AP 启动 后 需要 获取 管理 IP 地 址 .可 以 通过 查看 DHCP Server 状态 ,确定 服务 器 有 没有 
给 AP 分 出 去 地 址 。 
MS: display dhcp server ip-in-use pool ap_01 


<H3C>display dhcp server ip-inruse pool ap_01 
Pool utilization: 46.74% 


IP address Client-identifier/ Lease expiration Type 

Hardware address 
192.168.86.166  0023-8999-fec0 Apr 22 2013 02:13:18 Auto:COMMITTED 
192.168.86.97 3822-d694-2200 Apr 22 2013 02:20:46 Auto: COMMITTED 


(4) 检查 DHCP Relay/Server 状态 
查看 AP 的 管理 DHCP 地 址 池 配 置 是 否 正确 ,地 址 池 是 否 够 用 ,是 否 有 地 址 冲突 等 。 


命令 : display dhcp server tree pool xxx 


<H3C>display dhcp server tree pool 
Global pool: 


Pool name: cdwlan 
network192.168.86.0 mask 255.255.252.0 
PrevSibling node:0 
gateway-list192.168.86.2 
expired 1 0 0 0 


命令 : display dhcp server ip-in-use pool xxx 
例如 : 通过 命令 查看 DHCP 利用 率 ,超过 90% 就 需要 关注 了 。 


<H3C>display dhcp server ip-in-use pool ap_01 
Pool utilization: 46.74% 


IP address Client-identifier/ Lease expiration Type 

Hardware address 
192.168.86.166 0023-8999-fec0 Apr 22 2013 02:13:18 Auto:COMMITTED 
192.168.86.97 3822-d694-2200 Apr 22 2013 02:20:46 Auto:COMMITTED 


命令 : display dhcp server conflict all 


<H3C>display dhcp server conflict all 
Address Discover time 
192.168.86.3 Apr 92013 12:19:32 
192.168.86.4 Apr 9 2013 12:19:32 
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(5) 是 否 三 层 注册 

根据 用 户 的 实际 组 网 情况 检查 确定 AP、AC 注册 方式 。 

在 二 层 、 三 层 不 同 注册 方式 下 ,AP 发 现 并 注册 AC 的 方式 不 一 样 ,问题 排查 的 方向 也 
不 同 。 

(6) AP、AC 能 二 层 互通 

此 步骤 可 以 通过 AC ping AP。 需 要 注意 的 是 ,CAPWAP 隧道 对 AP-AC 之 间 的 链 路 丢 
包 比 较 敏感 ,要 求 有 线 丢 包 率 小 于 0.1%。 同 时 链 路 要 支持 MTU 1500。 

命令 : ping -s 1472 -f x.x. x.x 

例如 : ping 1472 字 节 包 (MTU 1500) ,强制 不 分 片 ,检测 AP-AC 链 路 。 


< AC> ping -s 1472 -f 192.168.86.166 
PING192.168.86.166: 1472 data bytes, press CTRL_C to break 
Reply from192.168.86.166: bytes=1472 Sequence=1 ttl=21 time=20 ms 
Reply from192.168.86.166: bytes=1472 Sequence=2 ttl=21 time=20 ms 
Reply from192.168.86.166: bytes=1472 Sequence=3 ttl=21 time=20 ms 
Reply from192.168.86.166: bytes=1472 Sequence=4 ttl=21 time=20 ms 


如 果 二 层 互通 性 有 问题 ,检查 AP, AC 二 层 组 网 ,排查 物理 链 路 、VLAN 配置 .STP 状态 等 。 
(7) AP 获取 正确 的 AC 地 址 

三 层 注 册 中 ,AP 常用 两 种 方式 获取 AC 地 址 。 

O 通过 DHCP Option 43 选项 。 

命令 : display dhcp client verbose 

例如 : 通过 命令 查看 ,可 以 确认 AP 获取 的 Boot Server 地 址 是 否 为 AC 地 址 。 


< AP>4isplay dhcp client verbose 

Vlan-interfacel DHCP client information: 

Current machine state: BOUND 

Allocated IP:192.168.86.166 255.255.252.0 

Allocated lease: 864000 seconds, T1: 432000 seconds, T2: 756000 seconds 
Lease from 2013.04.20 23:23:47 to 2013.04.30 23:23:47 
DHCP server:192.168. 86.50 

Transaction ID: 0x6249fa29 

Default router: 192.168.86.1 

Boot server: 10.21.100.10 

Client ID:0023-8999-fec0 

T1 will timeout in 4 days 11 hours 34 minutes 57 seconds. 


© 手动 在 AP 上 设置 WLAN AC IP, 
命令 : wlanac ip x.x. x.x 


例如 : 检查 AP 是 否 配 置 正确 的 WLAN AC IP 地 址 


< AP>4isplay current-configuration 
# 

wlan ac ip 10.21.100.10 

# 


(8) 检查 DHCP Option 43 配置 


对 于 通过 DHCP Option 43 方式 获取 AC 注册 地 址 的 情况 ,需要 确保 DHCP Server 的 
Option 43 参数 配置 正确 。 
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MS: display dhcp server tree all 


<H3C>display dhcp server tree all 
Global pool: 


Pool name: 1 
network 192.168.86.0 mask 255.255.252.0 
Sibling node:2 
gateway-list192.168.86.1 
option 43 hex 800B0000 020A1564 0A0A1564 07 
expired 10 0 0 


说 明 : 当 修改 DHCP Server 配置 后 需要 让 AP 重新 获取 地 址 ,新 配置 才能 生效 。 
Option 43 格式 简要 说 明 如 图 7-23 所 示 o 


80 0B 00 00 02 0A 15 640A 0A 15 64 07 

80: 固定 值 , 不 用 改变 ; 

0B: 长 度 字段 ,其 后 面 所 跟 数据 的 字 节 长 度 ; 

00 00: 固定 值 , 不 用 改变 ; 

02: 表示 后 面 的 IP 地 址 的 个 数 ,此 处 为 二 个 全 地 址 ; 

0A 15 64 0A: 十 六 进 制 转 十 进 制 为 IP 地 址 一 10.21.100.10 
0A 15 64 07: 十 六 进 制 转 十 进 制 为 IP 地 址 二 10.21.100.7 


图 7-23 Option 43 格式 简要 说 明 


(9) AP、AC 能 三 层 互通 

此 步骤 可 以 通过 AC 带 源 (Option 43 指定 的 接口 地 址 )ping AP 来 测试 。 需 要 注意 的 是 ， 
CAPWAP 隧道 对 AP-AC 之 间 的 链 路 丢 包 比较 敏感 ,要 求 有 线 丢 包 率 小 于 0. 1%。 同 时 链 路 
要 支持 MTU 1500, 

命令 : ping-a xz... XT(AC 注册 地 址 ) -s 1472 -f x.x. x.x AP 地 址 ) 

例如 : ping 1472 字 节 包 (MTU 1500) ,强制 不 分 片 ,检测 AP-AC 链 路 。 


< AC> ping -a 10.21.100.10 -s 1472 -f 192.168.86.166 
PING192.168.86.166: 1472 data bytes, press CTRL_C to break 
Reply from192.168.86.166: bytes=1472 Sequence=1 ttl=21 time=20 ms 
Reply from192.168.86.166: bytes=1472 Sequence=2 ttl=21 time=20 ms 
Reply from192.168.86.166: bytes=1472 Sequence=3 ttl=21 time=20 ms 
Reply from192.168.86.166: bytes=1472 Sequence=4 ttl=21 time=20 ms 


如 果 三 层 互 通 性 有 问题 ,需要 排查 AP 到 AC 的 三 层 路 由 ,保证 IP 层 互通 。 

(10) 检查 版 本 配套 、AP 模板 配置 

如 果 AP、AC 在 IP 层 通信 正常 ,但 仍 无 法 正常 注册 时 排查 方法 如 下 。 

O 查看 AC、AP 版 本 是 否 匹 配 。 

第 一 ,检查 AC Flash 是 否 有 瘦 AP 的 版 本 文件 ,如 果 没 有 ,上 传 正确 的 AP 版 本 文件 至 
AC Flash; 

第 二 ,检查 AC Flash 中 瘦 AP 版 本 文件 与 AC 版 本 文件 的 上 载 时 间 是 否 一 致 ,如 果 时 间 
相差 超过 1 天 , 则 很 有 可 能 版 本 不 匹配 ,需要 重新 上 传 正确 的 瘦 AP 版 本 文件 至 AC Flash, 

命令 : dir 


A> 无 线 产 品 801 


<AC>dir 
Directory of cfa0:/ 


0 -rw- 5441472 May 20 2013 19:16:50 wa2600ae fit.bin 
1 -rw- 6164168 May 20 2013 19:17:18 wa3600_fit. bin 
2 -rw- 45386804 May 23 2013 19:21:34 wx6103-cmw520-r2308p14.bin 


第 三 ,检查 AP 注册 状态 ,如 果 AP 状态 反复 停留 在 IL(ImageLoad) 无 法 上 线 , 则 很 有 可 
能 为 AC、AP 版 本 不 匹配 ,需要 重新 上 传 正确 的 瘦 AP 版 本 文件 至 AC Flash, 

MS: display wlan ap all 

例如 : AP 反复 停留 在 IL. 状态 , 则 很 有 可 能 为 版 本 文件 不 匹配 。 


<H3C>display wlan ap all 
State :I = Idle, J = Join, JA = JoinAck， IL = ImageLoad 


C = Config, R = Run, KU = KeyUpdate，KC = KeyCím 
AP Name State Model Serial-ID 
fz_dgl 001 IL WA1208E-GP 210235A0A9C094001953 
fz_dgl_002 IL WA1208E-GP 210235A0A9C094001529 
fz_dgl_003 R/M WA2100 210235A22WB093001434 


@ 检查 AP 模板 配置 。 
命令 : display current-configuration 


例如 : 检查 AP 型 号 .序列 号 配置 ,确保 跟 AP 的 真实 信息 一 致 。 


< AC>4isplay current-configuration 

# 

wlan apfz_dgl_001 model WA1208E-GP id 76 
priority level 7 
serial-id210235A0A9C094001953 
radio 1 


另外 ,如 果 AP 通过 MAC 地 址 信息 注册 AC。 此 时 需要 确保 AP MAC 地 址 信息 正确 。 


<AC> display current-configuration 

# 

wlan apfz_dgl_001 model WA1208E-GP id 76 
priority level 7 
serial-id0023-8999-fec0 
radio 1 


(11) 检查 AC License 

查看 AC License, 对 比 AC 上 AP 注册 数目 ,确定 是 否 需要 License 扩容 。 
O 检查 AC License 所 支持 的 AP 注册 数量 。 

MS: display license ap 


< AC>4display license ap 


No. Serial number AP Number Available Time Left 
1 ZrxbR-5nHmt- $ C &tn-acm55-q&qSN-D+- :K3-b9EFH 128 Forever 
yb@ Cce-LNw4c-dYGr9-hxe $ r-kr/k4-Cj3s3-@ /hcq 128 Forever 


3 uc$tS-wJk3q-rKrc+- $ Eq9n-F6inS-+ U5 &z-2K4gg 128 Forever 
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计算 公式 : 
AC 支持 的 AP 注册 数量 = 该 型 号 AC 默认 规格 十 >) 每 条 License 步 长 
注意 : 当 AC 添加 License 后 ,需要 重启 AC,License 才能 生效 。 
© 检查 AC 当前 已 经 注册 的 AP 数量 。 
MS: display wlan ap all 


<AC> display wlan ap all 
Total Number of APs configured : 729 
Total Number of configured APs connected : 613 
Total Number of auto APs connected :0 
计算 公 


AP 当前 注册 数量 —“ Total Number of configured APs connected” 
+ “Total Number of auto APs connected” 
@ 对 比 确认 是 否 需要 对 License 扩容 。 比 较 *AC 支持 的 AP 注册 数量 "和 “AP 当前 注册 
数量 ”, 如 果 二 者 相等 , 则 说 明 AC License 达到 允许 注册 的 AP 数 上 限 ,AC 需要 License 扩容 。 
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07 无 线 产 品 > 72 aP Ó 7.2.2 本 地 转发 异常 故障 排查 > 


1. 开始 

无 线 局 域 网 数据 转发 模式 分 为 集中 式 转发 和 本 地 转发 ,集中 式 转发 模式 下 ,数据 通过 AC 
统一 转发 ; 本 地 转发 模式 下 ,数据 报 文通 过 接 入 层 交 换 机 转发 。 本 地 转发 模式 问题 排查 思路 。 

O 检查 AP 在 线 情况 。 

@ 检查 终端 接 入 属性 (SSID 和 VLAN). 

@ 检查 接 入 交换 机 端口 配置 。 

@ 检查 MAP 文件 配置 以 及 是 否 下 发 成 功 。 

2. 流程 图 相关 操作 说 明 

(1) AP 是 否 上 线 

本 地 转发 基于 AP 稳定 注册 在 AC 上 ,排查 问题 前 查看 AP 是 否 稳定 在 线 。 


MS: display wlan ap xxx verbose 


display version 
例如 : 通过 命令 查看 AP 在 AC 上 注册 时 长 以 及 AP 运行 时 长 ,如果 两 个 时 长 相近 ,说明 
AP 稳定 注册 在 AC ,否则 需要 排查 AP 掉 线 问题 。 
D 查看 AP 注册 时 长 。 


[AC]display wlan ap name apl verbose 
AP Profile: apl 


APID 1 
State :Run 
Up Time(hh:mm:ss) :07:01:34 


@ 查看 AP 运行 时 长 。 


[WA2620] display version 

H3C Comware Platform Software 

Comware Software，Version 5.20，Release 1304P03 

Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. 
H3C WA2620 uptime is 0 week, 0 day, 7 hours, 7 minutes 


(2) 终端 属性 与 配置 相同 
无 线 本 地 转发 是 基于 SSID 十 VLAN 实现 ,如 果 终 端 接 人 无 线 的 SSID 和 VLAN 与 配置 
相同 ,AP 由 本 地 转发 模式 传送 数据 ; 如 果 终 端 接 人 SSID 相同 ,但 是 VLAN 不 是 本 地 转发 
VLAN ,数据 通过 集中 式 转发 传送 。 
MS: display wlan client 
display current-con figuration con figuration wlan-st 


例如 : 通过 命令 查看 接 人 终端 连接 的 SSID 以 及 所 属 VLAN., 


[AC]display wlan client 
Total Number of Clients ;2 
Client Information 
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SSID:H3C 


检查 本 地 转发 配置 SSID 十 VLAN。 


[AC]display current-configuration configuration wlan-st 
# 
wlan service-template 1 clear 

ssid H3C 

bind WLAN-ESS 1 

client forwarding-mode local vlan 20 

service-template enable 


# 


(3) 查看 接 入 交换 机 端口 配置 
交换 机 为 AP 提供 数据 转发 通道 ,在 本 地 转发 模式 下 ,要 求 交 换 机 连接 AP 的 端口 ,允许 
AP 管理 VLAN 和 终端 业务 VLAN 通过 ,端口 PVID 为 AP M VLAN ID, 
MA: display current-con figuration interface xxx 
例如 : 通过 命令 查看 接 入 交换 机 端口 配置 ,AP 管理 VLAN 是 10, 终 端 业务 VLAN 是 
20 ,接口 PVID 应 该 配置 为 VLAN 10, 


[H3C] display current-configuration interface Ethernet 1/0/1 
# 
interface Ethernet1/0/1 
poe enable 
port link-type trunk 
port trunk permit vlan10 20 
port trunk pvid vlan 10 
# 


(4) 查看 MAP 配置 
本 地 转发 模式 通过 MAP 文件 对 AP 下 发 配置 ,MAP 文件 配置 AP 以 太 网 端口 为 Trunk 
模式 ,允许 用 户 业 务 VLAN 通过 ,特殊 配置 也 可 以 通过 MAP 文件 下 发 。MAP 文件 是 一 个 
txt 文件 ,编辑 txt 文件 输入 AP 上 需要 配置 的 命令 ,默认 情况 下 在 系统 视图 (说 明 : CAPD ,将 
编辑 好 的 MAP 文件 上 传 到 AC Flash>CF 卡 中 ,通过 命令 给 AP 指定 MAP 文件 下 发 。 
命令 : more map.itrt 


例如 : 通过 命令 查看 AC Flash>CF 卡 中 的 MAP 文件 。 


<AC> more map. txt 
interface Ethernet1/0/1 
port link-type trunk 

port trunk permit vlan 20 


说 明 : 802.11lg AP 以 太 网 口 是 百 兆 口 ,802.1ln AP 以 太 网 口 是 千 兆 口 ,如 果 MAP 文件 
编写 错误 ,命令 将 下 发 失败 ,MAP 文件 内 不 要 有 空格 等 多 余 字 符 。 
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(5) MAP 文件 是 否 下 发 成 功 

MAP 文件 内 容 下 发 到 AP, 等 同 于 手动 在 AP 上 配置 命令 ,因此 可 以 远程 Telnet 到 AP 
上 查看 配置 来 确定 MAP 文件 是 否 下 发 成 功 。 

MS: display current-con figuration interface Ethernet XXX 


例如 : Telnet 到 AP 上 查看 配置 是 否 下 发 成 功 。 


<AP> display current-configuration interface Ethernet 1/0/1 
# 

interfaceEthernet1/0/1 

port link-type trunk 

port trunk permit vlan10 20 

# 


(6) 排查 AP 注册 问题 

排查 AP 注册 问题 请 参考 云图 工程 ( 瘦 AP 注册 不 上 故障 排查 》。 

(7) 排查 终端 接 入 问题 

排查 终端 接 入 SSID 与 VLAN ,连接 SSID 由 终端 控制 , 接 入 VLAN 由 设备 和 认证 服务 器 
控制 。 如 果 SSID 有 认证 且 通 过 认证 服务 器 下 发 VLAN, 那 么 需要 查看 服务 器 下 发 VLAN 属 
FPE; 如 果 没 有 认证 或 者 认证 未 涉及 下 发 VLAN. WIA VLAN 在 设备 上 控制 ,无 线 设备 可 以 
通过 ESS 接口 或 者 AP WERS FE VLAN, 
命令 : display current-con figuration inter face wlan-ess xx 

display current-con figuration con figuration wlan-a p 

例如 : 查看 无 线 接口 接 人 权限 。 
[AC]display current-configuration interface WLAN-ESS 2 
interface WLAN-ESS2 


port link-type hybrid 
port hybrid pvid vlan 2 


查看 基于 AP 控制 终端 接 入 权限 。 


[AC]display current-configuration configuration wlan-ap 
wlan ap apl model WA2620 id 1 
serial-id 219801A0D1C123023703 
radio 1 
radio 2 
service-template 1 vlan-id 20 
radio enable 


终端 接 入 权限 控制 优先 级 : 认证 服务 器 下 发 权限 一 基于 AP 控制 权限 一 基于 无 线 接口 控 
制 权限 。 

(8) AP 重新 注册 

本 地 转发 配置 文件 上 传 到 AC Flash>CF 卡 ,并 在 AP 模版 下 指定 下 发 配置 文件 ,未 上 线 
AP 在 注册 成 功 后 会 自动 下 发 MAP 文件 ,如 果 AP 已 经 上 线 ,需要 重新 注册 下 发 MAP 文件 ， 
AP 重新 注册 可 以 断 开 AP 有 线 网 络 , 或 者 重启 AP。 

MA: reset wlan ap name xxx 


例如 : 通过 命令 让 AP 重启 并 重新 注册 。 
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<AC> Treset wlan ap name apl 
This command will reset only master connection AP. 


Do you want to continue [Y/N] :Y 


(9) 查看 本 地 转发 配置 
本 地 转发 基于 SSID 十 VLAN ,重点 注意 SSID 与 VLAN 的 绑 定 关系 ,同时 注意 AP 绑 定 


的 MAP 文件。 


MA: display current-con figuration con figuration wlan-a p 


display current-con figuration con figuration wlan-st 


[AC]display current-configuration configuration wlan-ap 
# 
wlan ap apl model WA2620 id 1 
map-configuration map. txt 
priority level 7 
serial-id 219801 A0D1C123023703 
radio 1 
radio 2 
service-templatel 
radio enable 


[AC] display current-configuration configuration wlan-st 
# 
wlan service-template 1 clear 

ssid H3C 

bind WLAN-ESS 1 

client forwarding-mode local vlan 20 

service-template enable 


# 


š> 
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07 无 线 产品 DeeS 7.2.3 无 线 桥接 故障 排查 步骤 详解 


无 线 桥接 (MESH 技术 ) 又 称 为 WDS 链 路 ,无 线 桥接 链 路 质量 与 工程 连接 .设备 配置 、 无 
线 信道 质量 有 关 , 桥 接 问题 定位 思路 : 先 排查 工程 连接 ,再 排查 无 线 桥接 信号 ,最 后 排查 无 线 
信道 质量 。 建 议 工程 安装 前 测试 桥接 链 路 ,确保 桥接 配置 、 器 件 质量 没 问 题 。 

2. 流程 图 相关 操作 说 明 

(1) 是 否 建立 邻居 

桥接 链 路 是 两 个 AP 之 间 建 立 MESH 链 路 ,桥接 链 路 建立 成 功 后 ,设备 能 够 看 到 邻居 
MAC 地 址 、MESH 信号 强度 以 及 邻居 状态 为 Active。 

MA: display wlan mesh-link all 


例如 : 在 设备 上 查看 邻居 链 路 信息 ,如 果 没 有 建立 邻居 , 则 返回 值 为 空 。 


[AP]display wlan mesh-link all 
Peer Link Information 


Nbr-Mac(rssi) BSSID Interface Link-state Uptime(hh:mm:ss) 


(2) 检查 邻居 信号 

为 了 保证 链 路 通信 质量 ,邻居 信和 号 要 求 大 于 30(RSSI>30) ,如 果 已 经 建立 链 路 ,但 是 信号 
比较 弱 ,可 以 调整 AP 发 射 功率 .天线 方位 角 / 下 倾角 改善 邻居 信和 号 。 

MA: display wlan mesh neighbors all 

例如 : 通过 命令 查看 邻居 详细 信息 ,Mean RSSI 是 设备 收 到 邻居 的 信号 强度 ,为 了 保证 链 
路 质量 ,要 求 信 号 强度 大 于 30, 
[AP] _hidecmd 


[AP-hidecmd] display wlan mesh neighbors all 
Mesh Neighbor Parameters 


Neighbor MINDEX :1280 

BSS ID :5866-ba64-a210 
Peer Mac Addr :5866-ba64-61e0 
Mesh ID :H3C 

Neighbor state :Connected peer 
Mean RSSI :48 

Zero Config State :No 

Link FSM State :Established 
Peer's LinkId :0001 


Interface Index :00CC0000 
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(3) 信道 拥塞 率 低 

桥接 链 路 使 用 固定 信道 ,桥接 两 端 设备 通过 信道 交互 保 活 报 文 和 数据 报 文 , 如 果 信 道 拥 
塞 , 保 活 报 文 被 丢弃 ,桥接 链 路 可 能 频繁 断 开 重 连 。 

MS: display ar5drv 2 channelbusy 

例如 : 通过 命令 查看 信道 拥塞 情况 ,在 没有 业务 流量 的 情况 时 , 如果 信 道 质量 较 差 ， 
CtlBusy 数值 大 于 30% ,建议 更 换 信道 或 者 频段 ,使 用 信道 质量 相对 较 好 的 信道 。 


[AP-hidecmd] display ar5drv 2 channelbusy 
ChannelBusy information 
Ctl Channel: 11 
Ext Channel: 
Record Interval(s): 9 
Date/Month/Year: 17/11/2011 


Channel Band: 20M 


Time(h/m/s): CtlBusy(%) TxBusy(%) RxBusy(%) ExtBusy(%) 
01 21:57:37 64 1 56 0 
02 21:57:28 64 q 56 0 


(4) 桥接 报 文 收发 正常 

桥接 设备 通过 Beacon 帧 发 送 桥接 建立 请 求 ,同时 设备 实时 的 扫描 接收 对 端 发 送 的 
Beacon 帧 ,连续 多 次 查看 设备 收发 Beacon 帧 统计 ,正常 情况 收发 帧 统计 应 该 持续 增加 ,统计 
数据 可 以 辅助 判断 两 端 设 备 工 作 是 否 正常 。BeaconIntCnt 记录 本 端 设备 Beacon 发 送 数量 ,如 
果 连 续 多 次 收集 没有 持续 增加 ,需要 排查 本 端 桥接 配置 ; RxFrameCnt 记录 收 到 邻居 设备 帧 
数量 ,如 果 连 续 多 次 收集 没有 持续 增加 ,需要 检查 邻居 设备 配置 以 及 两 端 工 程 连接 。 

命令 : display ar5drv 2 statistics 


例如 : 在 连续 多 次 在 设备 上 收集 统计 信息 ,查看 设备 收发 报 文 统计 是 否 持续 增长 。 


[AP-hidecmd] display ar5drv 2 statistics 
Radio statistics: 
TxFrameAllCnt : 1649 
TxFrameAllBytes : 295811 
Management statistics 
ProbeRespSuc : 561 
ProbeRespFail : 20 
OutputErrs :2 
RtsSuccessCnt 
TxFilteredCnt sO 
TxHwRetryExcesive : 22 
TxSwRetryExcesive 20 
SwRetryCheckFail TO 
RxFrameAllCnt : 2470717 
RxFrameCnt : 13372 
RxFrameBytes : 1853985 
InputErrs : 749030 
RadioResetOnErr z0 
RadioResetTxDone 19 
Beacon statistics 
BeaconIntCnt : 6969 
BeaconBusyCnt :0 
BeaconErrCnt 20 
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(5) 调整 天 线 角度 

天 线 方位 角 和 下 倾角 共同 决定 天 线 主 波 辩 方向 ,桥接 链 路 要 求 两 端 天 线 主 波 瓣 方向 尽 可 
能 重 友 ,同时 天 线 极 化 方向 需要 一 致 。 在 链 路 已 经 建立 但 是 信号 较 弱 ,或 者 可 以 收 到 对 端 报 文 
没有 建立 链 路 情况 下 , 先 固定 一 端 天 线 角 度 ,左右 调整 男 一 端 天 线 方 位 角 , 或 者 上 下 调整 下 倾 
角 ,增加 两 边 天 线 主 波 瓣 重 码 度 ,达到 优化 桥接 信号 的 目的 ,如 图 7-24 所 示 。 


7-24 调整 天 线 角 度 


(6) 更 改 桥接 信道 /模式 
桥接 通信 之 前 测试 信道 带宽 利用 情况 ,如 果 信 道 带宽 占用 比例 较 大 ,说 明 该 信道 干扰 相对 较 
大 ,建议 更 改 桥接 信道 ,选用 信道 质量 相对 较 好 的 信道 作为 桥接 使 用 ,必要 时 可 以 更 换 工 作 频 段 。 
命令 : radiotype dotllg 
channel 11 
例如 : 更 改 AP 射频 工作 模式 为 802. 11g, 更 改 AP 工作 信道 为 11。 


[AP]interface WLAN-Radio1/0/1 
[AP-WLAN-Radio1/0/1]radio-type dotllg 
[AP-WLAN-Radio1/0/1]channel 11 


(7) 检查 桥接 配置 

设备 收发 报 文 统计 为 0 或 者 没有 持续 增加 ,如 果 BeaconIntCnt 计数 没有 增加 , 则 检查 本 
端 配 置 ,如 果 RxFrameCnt 计数 没有 增加 , 则 检查 对 端 配置 。 

O 检查 端口 安全 配置 。 


[AP] port-security enable 


© 检查 MESH 接口 配置 ,两 个 设备 MESH 下 配置 必须 一 致 ,同时 接口 pvid 必须 是 已 定 
义 的 VLAN. 


[AP]display current-configuration interface WLAN-MESH 1 
# 
interface WLAN-MESH1 
port link-type trunk 
port trunk permit vlan all 
port-security port-mode psk 
port-security tx-key-type 11key 
port-security preshared-key pass-phrase cipher 
$ c $ 3 $ VMHiKUOrwhwD3RSlu63RhNMOBTRE7MilYhAg 
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© 检查 mesh-profile 配置 ,两 端 mesh-id 必须 配置 一 致 ,否则 无 法 建立 链 路 。 


[AP]display wlan mesh-profile 1 


Mesh Profile Number | 

Mesh ID :H3C 

Binding Interface : WLAN-MESH1 
Link Keep Alive Interval (s) : 2 (Default) 
Link Backhaul Rate ( Mbps) : 18 (Default) 
Mesh Profile Status : Disable 


@ 检查 射频 口 配置 ,两 个 设备 工作 协议 、 信 道 必 须 一 致 ,如 果 绑 定 Peer-Mac, MAC 地 址 
必须 是 对 端 MESH Radio 的 MAC。 


[AP] dis current-configuration interface WLAN-Radio 1/0/2 


# 

interface WLAN-Radio1/0/2 
radio-typedotl 1g 
channel 11 


mesh-profile 1 
mesh peer-mac-address 5866-ba64-61e0 


# 


(8) 检查 工程 连接 
工程 检查 需要 确认 AP 与 馈线 ,馈线 与 天 线 、 网 线 等 连接 情况 ,可 以 根据 下 面 顺序 排查 。 


(D 确认 AP 是 否 正常 启动 ,可 以 通过 Console 口 登录 或 者 面板 指示 灯 确 认 。 

@ 确认 桥接 链 路 工作 信道 。 

© 检查 AP 协议 馈线 口 与 天 线 协 议 馈 线 口 连 接 是 否 正确 紧密 。 

@ 检查 AP 与 天 线 极 化 连接 方式 ,对 于 双流 两 个 馈线 口 的 AP 需要 分 别 连接 天 线 水 平和 
垂直 极 化 方向 ; 对 于 双流 三 个 馈线 口 的 AP,AP 馈线 口 1 和 3 分 别 连接 天 线 水 平和 垂直 极 化 
方向 (WA2610E-AGN 和 WA2620E-AGN 除外 ,连接 方式 参考 天 线 连接 指导 ) ,对 于 三 流 三 馈 
线 口 的 AP, 按 顺序 连接 天 线 馈 线 口 。 

© 检查 网 线 馈 线 防水 防 尘 处 理 , 室 外 AP 做 好 接地 、 防 雷 处 理 。 

© 检查 桥接 两 侧 天 线 主 波 瓣 方向 是 否 对 准 。 


(9) 收集 信息 
通过 以 上 步骤 分 析 依 旧 无 法 解决 问题 ,收集 以 下 信息 反馈 H3C 售后 技术 人 员 分 析 处 理 。 


<H3C>display current-configuration 
<H3C>debugging wlan mesh all 
<H3C>œ debugging port-security all 
<H3C> terminal debugging 
<H3C> terminal debugging 


= 差 不 ` 
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Ë X 公信 号 落差 不 
07 无 线 产品 DeeS 5 pu aa 


1. 开始 

无 线 X 分 覆盖 方案 主要 应 用 于 医院 等 场景 。X 分 信号 覆盖 的 好 坏 与 工程 连接 .设备 配 
置 、 终 端 网 卡 等 都 有 关系 。X 分 信号 覆盖 不 佳 问题 定位 思路 : 先 明确 故障 现象 ,再 排查 设备 配 
置 工程 连接 ,最 后 排查 AP、 终 端 信号 强度 等 问题 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 基本 配置 

检查 AC 的 基本 配置 ,排查 X 分 信号 覆盖 不 佳 是 否 由 于 功率 、 国 家 码 配置 错误 导致 。 一 
般 情况 下 ,无 线 X 分 覆盖 方案 相关 中 AP 都 配置 为 最 大 功率 , 即 max-power 配置 为 最 大 值 ( 不 
同型 号 AP 存在 差异 ) 。 另 外 ,设备 上 国家 码 的 配置 有 可 能 导致 AP 的 默认 最 大 发 射 功 率 发 生 
变化 (如 Au 国家 码 的 802. 11a 默认 max-power 为 12) ,因此 必须 保证 所 有 AP 采用 最 大 功率 
发 射 并 且 国家 码 country-code 配置 为 CN, 

此 外 ,X 分 AP 的 静 谱 工作 模式 在 某 些 情况 下 也 有 可 能 被 误 判 为 信号 覆盖 不 佳 , 因 此 在 排 
查 信号 覆盖 的 时 候 , 建 议 如 果 开 启 静 说 模式 可 以 先 关闭 此 功能 。 


MS: display wlan ap name xxx radio 


display wlan country-code ap all 
max- power zz 
wlan country-code CN 
undo wlan option x-share quiet enable 
例如 : 通过 命令 查看 AP WDR B: fa 4 2245, Jf E R A K A f m TERRES , A F 
所 示 。 


[WX6108-AC]display wlan ap name apl radio 


AP Radio 
AP Name Radio ID Channel Tx Power (dBm) 
apl 1 auto 20 
apl 2 auto 15 


[WX6108-AC]wlan ap apl 
[WX6108-AC-wlan-ap-apl] radio 2 
[WX6108-AC-wlan-ap-apl-radio-2] max-power ? 
INTEGER<1-20> Specify maximum radio power in dBm (Default: 20) 

[WX6108-AC-wlan-ap-ap1-radio-2] max-power 20 

[WX6108-AC] wlan country-code CN 

This command will disable the radio and reset the radio parameters. 

Do you want to continue? [Y/N] Y 

[WX6108-AC]display wlan country-code ap all 

Country Code 


> 无 线 产品 815 


apl 

ap2 

ap3 

[WX6108-AC]display current-configuration | include option 
option 43 hex 800F0000 03A00100 64A00100 04A00100 36 
wlan option fair-schedule enable 
wlan option traffic-shaping enable 
wlan option client-reject 15 
wlan option tpc enable 


终端 


65dBm。 一 般 推 荐 PC 端 可 选 的 软件 如 NetStumbler( 只 能 在 


(2) AP 信和 号 强度 是 否 满足 
在 终端 上 查看 AP 实际 的 信号 强度 。 为 了 保证 业务 的 正常 应 
要 求 AP 信号 强度 三 一 70dBm, 智 能 终端 (手机 、PDA\ 平 板 等 ) 要 I 

XP 系统 使 用 )、 WirelessMon、 


inSSIDer, 智 能 终端 可 选 软件 如 Wi-Fi 分 析 仪 等 ,inSSIDer 在 终端 查看 AP 信号 强度 如 图 7-25 
所 示 。 


Henz | Tine Graph 2 4 GHz Channels | S GHz Channela | Filters | GPS 


x: 


1/41 AP(s) _ GPS: Off 


(3) 检查 馈线 天 线 的 工程 安装 


G 


图 7-25 inSSIDer 在 终端 查看 AP 实际 的 信号 强度 


关于 馈线 、 天 线 的 工程 安装 问题 ,主要 包含 以 下 几 个 方面 。 
) 必须 保证 所 有 的 接口 拧紧 、 无 滑 丝 或 者 松动 ,对 于 未 接 馈线 的 天 馈 口 需要 用 负载 堵 住 。 
- 般 情 况 下 ,馈线 的 长 度 建 议 不 超过 10m。 另 外 ,馈线 材质 不 同 线 损 也 不 一 样 ,实际 


CO 
2) 
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测试 时 需要 兼顾 考虑 ,必要 时 可 以 替换 线 损 较 小 的 材质 馈线 替换 测试 信号 强度 。 

@ 如 果 用 同一 个 终端 在 相同 距离 下 测试 同一 个 AP 不 同 天 馈 的 信号 强度 存在 明显 差异 
(一 般 10dBm 以 上 ), 而 所 采用 的 馈线 材质 和 长 度 、 天 线 型 号 都 一 样 , 则 要 求 进行 馈线 、 天 线 的 
替换 测试 ,确认 是 AP 本 身 问题 还 是 天 馈线 质量 问题 。 

@ 对 于 X 分 AP, 需要 按照 安装 指导 规范 连接 天 线 和 AP RRO., K 7-26 所 示 为 6 个 房 
间 覆 盖 的 示意 图 。 


Room! p Room4 
Antenna Antenna 


Ç ) 


ANT-1 ANT-4 一 一 一 一 一 一 一 一 一 -| 
Room2 
Man Antenna Antenna Roos 
4 ANT-2 ANT-5 5 


| ANT-3 


ANT-6 


u 
Room3 Antenna = H Antenna Room6 


图 7-26 6 个 房间 覆盖 的 示意 图 


(4) 调整 天 线 安装 位 置 

如 果 测试 发 现 仍 存在 信号 覆盖 不 佳 问题 ,通过 替换 天 线 、 馈 线 无 法 改善 ,可 以 调整 天 线 的 
安装 位 置 或 者 增加 AP 补充 覆盖 ,保证 边缘 区 域 的 信号 强度 。 需 要 注意 的 是 , 当 增加 AP 时 ， 
必须 重新 规划 整 层 楼 、 跨 楼 层 间 的 所 有 AP 信道 部 署 ,减少 干扰 。 

(5) 看 AP 终端 信号 强度 是 否 满足 要 求 

如 果 AP 上 看 到 终端 的 RSSI<25, 且 协商 速率 Rx 方向 数值 较 低 , 说 明 可 能 是 由 于 终端 自 
身 网 卡 功率 过 低 造成 的 。 由 于 之 前 已 经 排除 了 AP 故障 的 可 能 ,这 时 需要 考虑 是 否 网 卡 本 身 
原因 导致 RSSI 和 协商 速率 较 低 。 

测试 方法 : 可 选择 在 一 个 天 线 正 下 方 测试 ,另外 可 以 更 换 成 PC 或 其 他 终端 对 比 测试 ,看 
看 是 普遍 存在 的 问题 还 是 个 别 问 题 。 一 般 来 说 ,PC 终端 的 网 卡 功率 略 高 于 智能 终端 (手机 、 
PDA FRS). 

MS: display wlan client verbose 

例如 : 在 AC 上 通过 命令 查看 终端 关联 信息 ,RSSI 为 19. Rx/ Tx 协商 速率 为 1/48, 该 终 
端 发 射 信号 功率 可 能 偏 弱 。 
< WX5540E> display wlan client verbose 
Total Number of Clients z: 8 


TotalNumber of Clients Connected : 8 
Client Information 


MAC Address : 0018-ded7-7b47 
AID : 251 
AP Name BBEL] 


Radio Id Eo 


EA LPa 


817 


SSID 

BSSID 

Port 

VLAN 

State 

PowerSave Mode 
Wireless Mode 

QoS Mode 

Listen Interval (Beacon Interval) 
RSSI 

Rx/Tx Rate 

Client Type 
Authentication Method 
AKM Method 

4-Way Handshake State 
Group Key State 
Encryption Cipher 
Roam Status 

Up Time (hh:mm:ss) 


: user_wlan 

: 0023-899f-5312 

: WLAN-DBSS4:702 
: 613 

: Running 

: Active 

: Iig 

: WMM 

: 10 

:19 

: 1/48 

: PRE-RSNA 

: Open System 

: None 

: -NA- 

: -NA- 

: Clear 

: Intra-ACroam association 
: 01:00:27 


(6) 关闭 终端 网 卡 节 电 休眠 等 功能 


部 分 终端 的 网 卡 设置 中 默认 开启 了 网 卡 节 电 等 功能 ,由 于 X 分 覆盖 场景 的 特殊 需求 ,我 
们 需要 调整 终端 设置 保证 业务 应 用 。PC 终端 .医疗 专用 PDA 终端 等 都 可 以 设置 节 电 和 休眠 
功能 。 下 面 以 Windows 7 系统 的 PC 为 例 , 可 按 * 控 制 面板 一 网 络 与 共享 中 心 一 更 改 适 配器 设 
置 一 无 线 网 络 连接 一 右 击 * 属 性 ?一 网 络 一 配置 "的 路 径 进 行 设置 ,如 图 7-27 所 示 。 


Co 无线 网 络 连接 2 


未 连接 
x fll Intel(R) Centrino(R) Ultimate-N... 


Intel(R) Centrino(R) Ultimate-N 6300 AGN #2 Ætt 
常规 | E E E EE 


无 线 网 络 连 接 2 


*issg 
x <fl Intel(R) Centrino(R) Ultimate-N... 


Intel(R) Centrino(R) Ultimate-N 6300 AGN #2 Et 
Aa en [mer [详细 信息 | 电源 管理 | 


Ea e TIRE ° 在 左边 单 击 您 想 更 改 的 属性 ， 


Et 
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802. 11n 


Ad Hoe Qa: 
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与 40Whz 信道 不 兼容 


爷 许 此 设备 唤醒 计算 机 o 


O 


图 7-27 Windows 7 系统 的 PC 设置 


如 图 7-27 所 示 ,“ 传 输电 源 ” 选 择 为 “最 高 值 ”表示 笔记 本 网 卡 工作 在 最 大 功率 状态 ,否则 
有 可 能 造成 网 卡 性 能 降低 ;“ 人 允许 计算 机 关闭 此 设备 以 节约 电源 ”不 勾 选 表示 关闭 网 卡 的 节 电 
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模式 。 

(7) 优化 漫游 配置 

如 果 通 过 以 上 几 步 仍 无 法 解决 问题 ,那么 就 需要 关注 信号 不 佳 问题 是 否 是 漫游 效果 不 佳 
导致 的 。 如 果 信 号 覆盖 不 佳 的 问题 只 出 现在 两 个 AP 间 的 覆盖 区 域 时 ,这 时 候 很 有 可 能 就 是 
终端 漫游 性 能 较 差 导致 的 。 由 于 之 前 已 经 排查 过 工程 安装 和 天 线 位 置 等 因素 ,因此 这 里 我 们 
可 以 通过 AC 的 配置 优化 引导 漫游 性 能 较 差 的 终端 主动 发 生 漫 游 。 这 里 的 优化 命令 主要 包含 
BTSF: 

命令 1: wlan option roam-navigation level xx zz x 

解释 : 开启 漫游 导航 功能 ,3 个 参数 分 别 表示 全 局 漫游 导航 级 别 、 终 端 信号 强度 门限 和 终 
端 漫 游 导 航 级 别 , 建 议 配 置 为 10 25 1, 其 中 门限 值 可 根据 现场 业务 实际 测试 效果 配置 在 25 士 5 
的 取 值 范围 内 。 

命令 2: wlan option client-reconnect-trigger xxx signal-check 

解释 : 主动 触发 客户 端 重 关 联 功能 ,参数 表示 功能 触发 的 终端 信号 强度 门限 值 ,建议 配置 
为 20, 同 样 可 以 根据 现场 业务 实际 测试 效果 配置 为 20 士 5。 

命令 3: wlan option client-reject xxx 

解释 : 禁止 弱 信 号 终端 接 人 功能 ,参数 表示 人 允许 接 人 的 客户 端 最 小 信号 强度 的 门限 值 , 建 
议 配 置 为 15 ,可 根据 现场 业务 实际 测试 效果 配置 为 15 士 5。 

需要 注意 的 是 ,上 述 三 条 命令 开启 后 ,需要 整体 测试 业务 情况 ,特别 是 主动 触发 客户 端 重 
关联 和 禁止 弱 信 号 终端 接 人 功能 开启 后 , 某 些 智能 终端 的 重 关联 过 程 可 能 伴随 有 丢 包 情况 ,这 
时 对 丢 包 比较 敏感 的 业务 (如 远程 桌面 等 ) 可 能 会 中 断 。 总 而 言 之 ,漫游 是 终端 自身 的 行为 ， 
WLAN 设备 只 能 尽量 引导 终端 合理 地 去 漫游 ,上 述 命 令 需 要 反复 调 测 得 出 匹配 业务 场景 的 最 
佳 参数 。 

(8) 收集 AC、AP 诊断 信息 

通过 以 上 步骤 分 析 依旧 无 法 解决 问题 ,请 收集 AC 和 问题 AP 的 诊断 信息 ,反馈 H3C 售 
后 技术 工程 师 分 析 。 


命令 : display diagnostic-information 


P Ht ` 


A #31 08 8 
W +mika t, 


优化 切 所 信号 
Pg 48 


拨打 热线 
400-8100504 Z F- # 44 
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07 无 线 产品 > 72m Ó c e 步骤 详解 


无 线 桥接 组 网 使 用 MESH 技术 ,在 PIS.CBTC 等 特殊 应 用 场景 下 ,车 载 MR 快速 移动 并 
依次 与 轨 旁 AP 进行 MESH 链 路 切换 。 为 保证 链 路 稳定 性 ,MESH 链 路 维护 需 遵 循 以 下 原 
W: MESH 主 链 路 信号 强 、 信 道 利用 率 低 、 链 路 切换 参数 合理 。 

常见 桥接 应 用 设备 定义 。 

移动 桥接 设备 : 车 载 MR。 

固定 桥接 设备 : 轨 旁 AP. 

2. 流程 图 相关 操作 说 明 

(1) 单 播 ping 丢 包 是 否 连续 

不 带 业 务 ping 测试 。 在 核心 交换 机 下 联 一 个 测试 服务 器 ,在 车 载 MR 侧 直 连 或 者 车 载 交 
换 机 下 联 测试 PC ,测试 PC 上 使 用 ping 软件 (如 Fping)ping 测试 服务 器 IP 地 址 ,设置 ping 发 
包间 隔 为 10ms。 车 载 MR 从 起 始点 运行 到 终点 ,测试 结束 查看 ping 结果 ,如 果 连 续 丢 包 超过 
5 个 ,定义 为 连续 丢 包 ,否则 可 认为 链 路 正常 。 

例如 : 实际 测试 数据 , 某 一 时 刻 连续 丢 包 8 个 ,存在 异常 。 


61 12/30 02:03:17.843 TooLate #335 Reply 32 bytes from 10.68.92.1: time=37ms TTL=255, ave= 
14.00ms 

62 12/30 02:03:18.093 TimeOut #336 xxxxx (32 bytes) Request timed out. 

63 12/30 02:03:18.593 TimeOut #337 xxxxx (32 bytes) Request timed out. 

64 12/30 02:03:19.093 TimeOut #338 ***** (32 bytes) Request timed out. 

65 12/30 02:03:19.593 TimeOut #339 w***** (32 bytes) Request timed out. 

66 12/30 02:03:20.093 TimeOut #340 ***** (32 bytes) Request timed out. 

67 12/30 02:03:20.593 TimeOut #341 ***** (32 bytes) Request timed out. 

68 12/30 02:03:21.093 TimeOut #342 ***** (32 bytes) Request timed out. 

69 12/30 02:03:21.593 TimeOut #343 ***** (32 bytes) Request timed out. 

70 12/30 02:03:21.687 TooLate # 344 Reply 32 bytes from 10.68.92.1: time=81ms TTL=255, ave= 
14.21ms 


(2) 存在 主 链 路 异常 切换 日 志 

车 载 MR 在 移动 过 程 中 ,持续 与 轨 旁 AP 进行 MESH 链 路 切换 , 主 链 路 切换 时 会 生成 
切换 日 志 , 切 换 日 志 记录 有 MESH 链 路 切换 前 后 主 链 路 ( 轨 旁 AP) 的 MAC 地 址 、 信 号 强 
EE .切换 时 间 以 及 切换 原因 码 , 如 果 切 换 原因 码 为 Reason 3, 可 以 判断 MESH 切换 存在 
异常 。 


命令 : terminal logging 


terminal monitor 
例如 : 通过 命令 收集 MESH 链 路 切换 日 志 , 分 析 日 志 中 的 原因 码 信息 ,原因 码 释义 如 下 。 
Reason 1: 首次 建立 链 路 。 
Reason 2: 链 路 正常 切换 。 
Reason 3: 链 路 异常 切换 , 主 链 路 信号 弱 、 切 换 频繁 \ 信 道 利用 率 异常 均 会 异常 切换 。 
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%%Dec 30 02:28:55:980 2012 Train425-H3C-WA2220E-2 WMSH/6/WMESH_SWITCH_ACTIVE_ 
LINK: Switch an 

active link from 0000-0000 (0)to 0023-89a7-46e0(23) for reason 1 with 11 neighbors and 1 links. 

% Dec 30 02:29: 08:633 2012 Train425-H3C-WA2220E-2 WMSH/6/WMESH_SWITCH_ACTIVE_ 
LINK: Switch an 

active link from 0023-89a7-46e0 (27)to 0023-89a7-4680(36) for reason 2 with 11 neighbors and 3 links. 
% Dec 30 02:29:17:878 2012 Train425-H3C-WA2220E-2 WMSH/6/WMESH_SWITCH_ACTIVE_ 
LINK: Switch an 

active link from 0023-89a7-5e60 (20)to 0023-89de-ab40(33) for reason 3 with 12 neighbors and 3 links. 


(3) 主 链 路 信号 强度 大 于 30 

车 载 MR 同时 与 多 个 轨 旁 AP 建立 链 路 ,其 中 一 条 为 主 链 路 负责 转发 数据 ,其 余 链 路 为 备 
份 链 路 。 当 主 链 路 信号 强度 下 降 且 满 足 切换 条 件 时 ,备份 链 路 切换 为 主 链 路 , 主 链 路 信号 强度 
与 通信 质量 强 弱 相 关 , 要 求 主 链 路 信号 大 于 30(RSSI 二 30) 。 主 链 路 信和 号 低 于 正常 数值 , 链 路 
存在 丢 包 风险 。Link-state 标识 为 Active 的 链 路 为 主 链 路 。 

命令 : display clock 

display wlan mesh-link all 

例如 : 列车 运行 过 程 中 ,每 隔 2 秒 使 用 命令 采集 主 链 路 信号 (可 以 使 用 CRT 软件 执行 脚 
本 采集 ) 。 

MR> display clock 

02:26:13 UTC Sun 12/30/2012 


MR> display wlan mesh-link all 
Peer Link Information 


Nbr-Mac(rssi) BSSID Interface Link-state Uptime(hh:mm:ss) 

3822-d6cd-e350(39) 3822-d61e-0bb0 WLAN-MESHLINK266 Active 0: 0:20 
c4ca-d908-cbd0(31) 3822-d61e-0bb0 WLAN-MESHLINK267 Dormant 0: 0: 8 
c4ca-d908-cd70(27) 3822-d6le-0bb0 WLAN-MESHLINK264 Dormant 0: 0:33 


(4) 检查 业务 流量 是 否 拥塞 

桥接 MESH 链 路 的 带宽 有 限 ,实际 业务 流量 应 小 于 MESH 链 路 带宽 ,检查 当前 业务 流量 
带宽 ,如 果实 际 业务 流量 接近 或 者 大 于 MESH 链 路 带宽 ,联系 客户 减 小 和 优化 业务 流量 。 
MESH 链 路 带宽 标准 如 下 。 

2. 4G 频段 MESH 链 路 带宽 : 802. 11g 带宽 为 15Mbps,802. 11n 20MHz 带宽 为 30Mbps。 

5. 8G 频段 MESH 链 路 带宽 : 802. 11a 带宽 为 15Mbps,802. 11n 40MHz 带宽 为 110Mbps。 

(5) 信道 利用 率 是 否 正 常 

MESH 链 路 使 用 固定 信道 ,桥接 两 端 设备 通过 该 信道 交互 保 活 报 文 和 数据 报 文 。 如 果 信 
道 拥塞 ,将 影响 数据 业务 转发 ,严重 时 将 影响 MESH 链 路 稳定 性 。 

命令 : display ar5drv 2 channelbusy 

例如 : 通过 命令 查看 车 载 MR 信道 利用 率 , 在 没有 业务 流量 的 情况 时 ,如 果 信 道 质量 较 
差 ,CtlBusy 数值 大 于 30% ,可 以 确定 为 存在 外 界 干扰 源 ,业务 运行 前 要 求 排除 外 界 干扰 源 ,如 
果 无 法 排除 干扰 源 建议 更 换 信道 或 者 频段 ,使 用 空 口 利 用 率 低 的 信道 。 
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[MR] _hidecmd 
[MR-hidecmd] display ar5drv 2 channelbusy 
ChannelBusy information 
Ctl Channel: 11 Channel Band: 20M 
Ext Channel: 
Record Interval(s): 9 
Date/Month/Year: 17/11/2011 
Time(h/m/s): CtlBusy(%) TxBusy(%) RxBusy(%) ExtBusy(%) 
01 21:57:37 64 1 56 0 
02 21:57:28 64 56 0 


(6) 备份 链 路 信号 强度 大 于 主 链 路 

正常 情况 下 ,车载 MR 会 和 多 个 轨 旁 AP 建立 桥接 链 路 ,其 中 一 条 链 路 为 主 链 路 转发 数据 
报 文 。 当 主 链 路 达到 保持 时 间 且 主 备份 链 路 信和 号 差 值 大 于 配置 的 阔 值 时 ,备份 链 路 切换 为 主 
链 路 。 如 果 信 号 切换 阔 值 设置 不 合理 ,将 出 现 备份 链 路 信号 大 于 主 链 路 信号 ,影响 主 备 链 路 平 
滑 切换 。 

命令 : display wlan mesh-link all 

例如 : 查看 动态 测试 主 备 链 路 信号 记录 日 志 , 确 定 是 否 存在 备份 链 路 信号 强 于 主 链 路 信 
号 ,但 信号 差 值 小 于 设 定 闽 值 (比如 link-switch-margin 设置 为 10) 。 


<MR>display wlan mesh-link all 
Peer Link Information 


Nbr-Mac(rssi) BSSID Interface Link-state Uptime(hh:mm:ss) 
3822-d6cd-e350(24) 3822-d61e-0bb0 WLAN-MESHLINK266 Active 0: 0:20 

c4ca-d908-cbd0(22) 3822-d61e-0bb0 WLAN-MESHLINK267 Dormant 070:6 

c4ca-d908-cd70(31) 3822-d6le-0bb0 WLAN-MESHLINK264 Dormant 0: 0:33 


(7) 检查 有 线 设备 转发 表 项 

了 解 桥接 网 络 传送 报 文 类 型 ,确定 车 载 MR 运动 过 程 , 轨 旁 AP 上 行 设备 转发 表 项 能 够 及 
时 更 新 ,常见 的 业务 报 文 包括 单 播 和 组 播 , 业 务 报 文 为 单 播报 文 时 ,检查 轨 旁 AP 上 行 设备 的 
MAC Ji; 业务 报 文 为 组 播 时 ,检查 轨 旁 AP 上 行 设备 的 组 播 表 项 。 

MS: display igmp-snooping group vlan xxx verbose 

display mac-address 

O ER AP 主 链 路 切换 时 , 轨 旁 AP 上 行 设备 应 及 时 更 新 MAC 表 项 ,使 用 命令 检查 轨 旁 
AP 上 行 设备 的 MAC 表 项 是 否 及 时 更 新 。 

命令 : display mac-address 


例如 : 查看 轨 旁 AP 上 行 交换 机 MAC 地 址 表 项 ,查看 主 备 链 路 切换 后 是 否 及 时 更 新 表 项 。 


[S75E] display mac-address 
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 
0023-893a-4cf0 1 learned GigabitEthernet1/0/1 AGING 
0023-893a-4cf0 4043 learned GigabitEthernet1/0/3 AGING 
000f-e207-f2e0 1 learned GigabitEthernet1/0/1 AGING 
3ce5-a683-1fc2 2 learned GigabitEthernet1/0/3 AGING 

--- 4 mac address(es) found --- 
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@ ER AP 主 链 路 切换 时 , 轨 旁 AP 上 行 设备 应 及 时 更 新 组 播 表 项 ,使 用 命令 检查 轨 旁 
AP 上 行 设备 的 组 播 表 项 是 否 及 时 更 新 。 


[S75E] display igmp-snooping group vlan 300 verbose 
Total 2 IP Group(s). 
Total 2 IP Source(s). 
Total 2 MAC Group(s). 


Port flags: D-Dynamic port, S-Static port, C-Copy port 
Subvlan flags: R-Real VLAN, C-Copy VLAN 
Vlan(id) :300. 
Total 2 IP Group(s). 
Total 2 IP Source(s). 
Total 2 MAC Group(s). 
Router port(s) : total 0 port. 
IP group(s) :the following ip group(s) match to one mac group. 
IP group address:239.1.1.1 
(0.0.0.0; 224.1 4.1): 
Attribute: Host Port 
Host port(s) :total 1 port. 
Eth1/0/2 (D) ( 00:02:31 ) 
MAC group(s): 
MAC group address:0100-5e01-0101 
Host port(s) : total 1 port. 
Eth1/0/2 


(8) 检查 MLSP-proxy 参数 

ER MR 主 链 路 切换 伴随 着 轨 旁 AP 上 行 设备 转发 表 项 的 刷新 。 因 此 ,要求 MESH 主 链 
路 切换 时 MR 通过 代 发 报 文 更 新 轨 旁 AP 等 设备 的 转发 表 项 。 车 载 MR 上 配置 车 载 主机 的 
MAC, VLAN 和 IP 信息 , 主 链 路 切换 后 代理 发 送 车 载 主 机 的 GARP 报 文 。 如 果 车 载 MR ff. 
在 二 层 组 播 表 项 , 主 链 路 切换 前 车 载 MR 代 发 组 播 离开 报 文 , 主 链 路 切换 之 后 代 发 组 播 加 入 
报 文 。 

命令 : display current-configuration 


例如 : 检查 当前 配置 信息 ,核实 绑 定 车 载 主 机 信息 是 否 准确 。 


[MR]display current-configuration 
wlan mp-policy 1 

link-hold-rssi 21 

link-hold-time 3000 

link-switch-margin 8 

link-maximum-number 3 

mlsp enable 

milsp-proxy mac-address 3822-d696-1500 vlan 300 ip 172.17.150.254 


(9) 排除 干扰 

桥接 网 络 MESH 链 路 使 用 固定 信道 转发 数据 ,信道 拥塞 将 影响 数据 转发 质量 ,设备 空 口 
利用 率 是 衡量 MESH 链 路 拥塞 率 的 重要 指标 , 空 口 利 用 率 高 则 信道 拥塞 率 高 ,反之 亦 然 。 影 
响 空 口 利 用 率 常见 原因 为 WLAN 干扰 、 非 WLAN 干扰 、 弱 信号 、 低 速率 等 ,如 何 分 析 且 看 下 
面 分 解 。 

D 判断 是 系统 内 部 干扰 还 是 外 部 干扰 。 系 统 内 部 干扰 即 轨 旁 AP 之 间 相互 干扰 ,可 以 将 
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临近 几 个 轨 旁 AP 同时 关闭 射频 口 ,查看 中 间 这 个 AP 的 空 口 利 用 率 , 如 果 空 口 利用 率 降低 ， 
则 说 明 干 扰 源 来 自 系 统 内 ,反之 则 说 明 干 扰 源 来 自 于 系统 外 部 。 

MS: display ar5drv x channelbusy ST 

例如 : 查看 信道 空 口 利用 率 。 


[MR-hidecmd | display ar5drv 2 channelbusy 
ChannelBusy information 
Ctl Channel : 11 Channel Band: 20M 
Ext Channel: 
Record Interval(s): 9 
Date/Month/Year: 17/11/2011 
Time(h/m/s): CtlBusy(%) TxBusy(%) RxBusy(%) ExtBusy(%) 
01 21:57:37 64 1 56 0 
02 21:57:28 64 1 56 0 


@ 如 果 是 系统 内 部 干扰 : 系统 内 部 干扰 来 自 轨 旁 AP 之 间 信 号 相互 干扰 ,或 者 低速 率 报 
文 占用 信道 资源 ,调整 轨 旁 AP 发 射 功 率 以 及 禁用 低速 率 可 以 达到 优化 目的 。 
命令 : maz-power = 
dotllg diabled-rate x 
(a) 调整 轨 旁 AP 射频 口 发 射 功 率 。 


[MR]interface wlan-radio 2 
[MR-interface- WLAN-Radio2] max-power XX 


(b) 禁用 车 载 MR 以 及 轨 旁 AP 低速 率 。 


[MR]interface wlan-radio 2 
[MR-WLAN-RRM] dotllg disabled-rate 1 2 5.5 6 9 11 12 
[MR-WLAN-RRM] display this 
wlan rrm 
dotlla mandatory-rate 6 12 24 
dotlla supported-rate 9 18 36 48 54 
dotllb mandatory-rate 1 2 
dot11b supported-rate 5.5 11 
dotllg mandatory-rate 18 
dotllg supported-rate 24 36 48 54 
dotllg disabled-rate 1 2 5.5 6 9 11 12 


说 明 : 如 果 轨 旁 AP 是 FIT AP, 必 须 在 AC 上 禁用 低速 率 。 

@ 如 果 是 系统 外 部 干扰 : 通过 空 口 利用 率 可 以 定性 分 析 是 WLAN 干扰 或 非 WLAN F 
扰 ,如 果 CtlBusy 远大 于 TxBusy 十 RxBusy, 则 可 以 推断 外 界 干扰 为 非 WLAN 干扰 ,建议 联系 
客户 排除 外 界 干扰 源 保证 信道 质量 ,如 果 不 能 排除 外 界 干 扰 ,建议 更 换 MESH 信道 或 者 更 换 
桥接 工作 频段 。 

命令 : channel xx 

radio-type dotllg 
例如 : 更 改 车 载 MR 桥接 协议 以 及 桥接 信道 。 
[MRJ]interface wlan-radio 2 


[MR-WLAN-radio2]radio-type dot11g 
[MR-WLAN-radio2]channel 11 
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说 明 : 轨 旁 AP 和 车 载 MR 桥接 协议 以 及 信道 必须 同时 修改 ,否则 无 法 建立 MESH 链 路 。 

(10) 优化 切换 信号 阔 值 

主 备 链 路 信号 切换 冰 值 设置 不 合理 ,将 影响 主 备 链 路 平滑 切换 。 分 析 车 载 MR 异常 切换 
日 志 , 如 果 异 常 切换 与 信号 相关 , 则 需 优化 主 链 路 切换 信号 阅 值 。 车 载 MR 运动 轨迹 弯 道 多 
或 者 上 下 坡 居多 场景 ,可 以 适当 降低 参数 数值 。 

MS: link-switch-margin x 


例如 : W EERE S RREA 8, RAEN 10. 


[MR] wlan mp-policy 1 
[MR-wlan-mp-policy-1]link-switch-margin 8 


(11) 优化 主 链 路 保持 时 间 参 数 ,减少 频繁 切换 

桥接 网 络 MESH 链 路 频繁 切换 时 可 能 导致 丢 包 ,为 了 避免 主 链 路 频繁 切换 ,软件 设置 主 
链 路 必须 保持 一 定时 间 才 能 切换 。 

通过 检查 主 链 路 切换 日 志 找 到 异常 切换 日 志 , 分 析 主 链 路 异常 切换 与 前 一 次 主 链 路 切换 
时 间 ,根据 时 间 差 值 分 析 主 链 路 保持 时 间 ,如 果 主 链 路 保持 时 间 等 于 或 者 接近 设 定 阔 值 , 可 适 
当 调 高 主 链 路 保持 时 间 , 主 链 路 保持 时 间 经 验 数 据 是 3000ms 。 

命令 : link-hold-time 3000 

例如 : 调整 主 链 路 保持 时 间 为 3000ms, 如 果 车 载 MR 运动 轨迹 弯 道 或 者 上 下 坡 居多 ,可 
适当 调 小 该 参数 。 


[MR] wlan mp-policy 1 
[MR-wlan-mp-policy-1] link-hold-time 3000 


(12) 检查 轨 旁 AP 

天 线 主 波 斩 指向 车 载 MR 运动 方向 , 轨 旁 AP 天 线 方位 角 根 据 天 线 安装 高 度 和 车 载 MR 
天 线 高 度 决定 , 尽 可 能 保证 轨 旁 AP 天 线 和 车 载 MR 天 线 覆 盖 交 叉 区 域 更 大 。 在 上 下 坡 或 者 
弯 道 区 域 , 可 能 存在 覆盖 不 足 , 可 以 通过 增 大 功率 或 者 使 用 左右 线 AP 交叉 覆盖 方式 。 如 果 调 
整 功率 且 左 右 线 交 叉 覆 盖 依 然 不 能 满足 覆盖 要 求 ,建议 增加 AP 覆盖 。 

对 于 AP 信号 覆盖 满足 要 求 , 但 MESH 链 路 信和 号 弱 , 可 以 从 以 下 几 方 面 排查 。 

Q@ 优化 发 射 功率 。 调 整 射频 口 的 发 射 功 率 , 增 加 信和 号 覆盖 。 

命令 : mar- power rz 

例如 : 调整 轨 旁 AP 发 射 功率 为 18. 


[ 轨 旁 AP]interface wlan-radio 2 
[ 轨 旁 AP-interface- WLAN-Radio2] max-power 18 


说 明 : 调整 功率 时 优先 考虑 信号 履 盖 ,在 满足 信号 覆盖 基础 上 再 优化 系统 内 部 干扰 。 

@ 检查 工程 连接 。 如 果 动车 测试 整 条 线 主 链 路 信号 均 偏 弱 , 需 检查 车 载 MR 工程 连接 是 
否 符合 规范 ; 如 果 个 别 轨 旁 AP 信号 偏 弱 , 则 需 检 查 轨 旁 AP 工程 连接 是 否 符 合 规范 ,工程 连 
接 是 否 规 范 的 标准 包括 。 

(a) 确认 轨 旁 AP 是 否 正 常 启动 ,可 以 通过 Console 口 登录 或 者 面板 指示 灯 确 认 。 

(b) 确认 轨 旁 AP 信道 设置 是 否 正 确 。 

(c) 检查 天 线 馈 线 是 否 连接 在 正确 的 AP 天 馈 口 上 (2.4G 或 5G)。 
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(d) 检查 AP 馈线 口 与 天 线 馈 线 口 连接 是 否 可 靠 。 

(e) 检查 AP 与 天 线 极 化 连接 方式 ,对 于 双流 两 个 馈线 口 的 AP 需要 分 别 连接 天 线 水 平和 
垂直 极 化 方向 ; 对 于 双流 三 个 馈线 口 的 AP,AP 馈线 口 1 和 3 分 别 连接 天 线 水 平和 垂直 极 化 
方向 ; 对 于 三 流 三 馈线 口 的 AP, 遵 循 AP 馈线 口 1 和 3 分 别 连接 水 平和 垂直 极 化 方向 ,余下 
馈线 口 连 接 天 线 剩余 馈线 口 。 

(D 检查 网 口 连接 处 ,馈线 连接 处 防水 防 侍 处 理 是 否 标 准 ,室外 AP 还 需 做 好 接地 、 防 雷 
处 理 。 

O 检查 天 线 安装 方向 : 直道 , 主 波状 平行 轨道 方向 ; 弯 道 , 主 波状 稍 往 轨道 内 侧 覆 盖 。 天 
线 方位 角 和 下 倾角 共同 决定 天 线 主 波状 方向 ,桥接 链 路 要 求 两 端 天 线 主 波 辩 方向 尽 可 能 重 番 ， 
同时 天 线 极 化 方向 需要 一 致 。 在 MESH 链 路 已 经 建立 但 是 信号 较 弱 ,或 者 可 以 收 到 对 端 Probe 
报 文 但 无 法 建立 MESH 链 路 情况 下 ,可 以 先 固定 一 端 天 线 角度 ,左右 调整 男 一 端 天 线 方位 角 , 或 
者 上 下 调整 下 倾角 ,增加 两 边 天 线 主 波 瓣 重 麦 度 , 达 到 优化 桥接 信号 的 目的 ,如 图 7-28 所 示 。 


图 7-28 调整 天 线 角 度 


(13) 检查 AC 配置 

轨 旁 AP H FIT AP,AC 集中 控制 ,管理 轨 旁 AP。 轨 旁 AP 注册 成 功 后 ,AC 集中 控制 下 
发 配置 ,需要 确认 AC 配置 是 否 正确 ,下 发 到 AP 的 配置 是 否 成 功 。 

D 开启 端口 安全 。 


[AC] port-security enable 


© 配置 MESH 接口 ,将 MESH 接口 配置 为 Trunk 模式 并 放 通 业务 VLAN ,车 载 AP 和 
AC 上 MESH 接口 配置 的 密 钥 必须 相同 。 


[AC]interface WLAN-MESH 1 

[AC-wlan-mesh1] port link-type trunk 

[AC-wlan-meshl] port trunk permit vlan X //X 为 车 地 通信 的 业务 vlan-id 
[AC-wlan-mesh1]port-security port-mode psk 

[AC-wlan-meshl | port-security tx-key-type llkey 

[AC-wlan-mesh] | port-security preshared-key pass-phrase abcd0001 


© 配置 MESH 服务 ,车 载 MR 和 AC 上 配置 的 MESH-ID 必须 一 致 ,否则 无 法 建立 
MESH 链 路 。 


[AC] wlan mesh-profile 1 
[AC-wlan-mshp-1]mesh-id sys_mesh 
[AC-wlan-mshp-1]bind WLAN-MESH 1 
[AC-wlan-mshp-1]mesh-profile enable 
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@ 为 了 避免 轨 旁 有 线 网 络 环 路 ,必须 配置 轨 旁 AP 之 间 禁 止 建立 临时 链 路 ,以 及 不 主动 


建立 MESH 链 路 。 默 认 情 况 下 , 轨 旁 AP 之 间 可 以 建立 临时 MESH 链 路 ; 轨 旁 AP 注册 到 
AC 之 后 ,相互 使 用 新 配置 建立 MESH 链 路 ; 当 轨 旁 AP 之 间 建 立 MESH 后 ,与 有 线 网 络 形 
成 环 路 ,将 影响 业务 转发 以 及 和 MR 的 MESH 链 路 建立 。 


在 AC 上 创建 MP-policy, 配 置 轨 旁 AP 之 间 禁 止 建立 临时 链 路 ,以 及 不 主动 建立 MESH 


链 路 ,并 将 策略 应 用 到 AP 模板 上 。 


[AC] wlan mp-policy rail_policy 
[AC-wlan-mp-policy-rail_policy] undo link-initiation enable 
[AC-wlan-mp-policy-rail_policy] undo role-authenticator enable 
[AC-wlan-mp-policy-rail_policy] undo temporary-link enable 


© 全 局 模式 下 使 能 mesh-profile。 


[H3C] mkd-service enable mesh-profile 1 


© 配置 map 文件 ,车 载 MR 通过 MESH 链 路 将 数据 转发 给 轨 旁 AP, 轨 旁 MR 对 于 


MESH 链 路 的 数据 通过 本 地 转发 模式 向 上 行 交 换 机 转发 数据 。 因 此 , 轨 旁 AP 上 需要 创建 业 
务 VLAN KAKAON Trunk 并 放 通 业务 VLAN。 如 果 存 在 组 播 业 务 ,需要 开启 二 层 
组 播 协议 且 配 置 未 知 组 播 丢弃 功能 ,map 文件 下 发 是 否 生效 可 以 Telnet 到 AP 上 通过 查看 当 


前 配置 来 确认 。 
igmp-snooping // 如 果 没 有 组 播 业 务 可 以 省 略 
vlan 100 
igmp-snooping enable // 如 果 没 有 组 播 业 务 可 以 省 略 
igmp-snooping drop-unknown // 如 果 没 有 组 播 业务 可 以 省 略 


interface Ethernet1/0/1 
port link-type trunk 
port trunk per vlan 1 100 


quit 


说 明 : 在 本 地 创建 txt 文件 ,将 命令 写 入 txt 文件 ,编辑 好 文件 后 上 传 到 AC Flash> CF 


卡 , 即 为 map 文件 。 


@ 创建 AP 模板 ,在 模板 视图 下 调用 map 文件 并 开启 MESH Portal 服务 。MESH 使 用 


固定 信道 ,车载 MR 和 轨 旁 AP 需要 配置 相同 信道 ,在 射频 口 下 指定 MESH 链 路 信道 ,并 调用 
MP 策略 和 mesh 服务 。 


[H3C]wlan ap testapl model WA2210X-GE 
[H3C-wlan-ap-testap1]map-configuration map. txt 
[H3C-wlan-ap-testap1 ]serial-id 210235 A36L0089000035 
[H3C-wlan-ap-testap1]portal-service enable 
[H3C-wlan-ap-testapl] radio 1 

[H3C-wlan-ap-testap1-1] channel 13 
[H3C-wlan-ap-testap1-1] mp-policy rail_policy 
[H3C-wlan-ap-testap1-1]mesh-profile 1 
[H3C-wlan-ap-testap1-1]radio enable 
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(14) 检查 MR 配置 
O 开启 端口 安全 。 


[MR] port-security enable 


© 配置 MESH 接口 ,将 MESH 接口 配置 为 Trunk 模式 并 放 通 业务 VLAN, 车 载 AP 和 
AC 上 MESH 接口 配置 的 密 钥 必 须 相 同 。 


[MR]interface WLAN-MESH 1 

[MR-wlan-mesh1] port link-type trunk 

[MR-wlan-meshl] port trunk permit vlan X //X 为 车 地 通信 的 业务 vlan-id 
[MR-wlan-meshl |] port-security port-mode psk 

[MR-wlan-meshl |] port-security tx-key-type llkey 
[MR-wlan-meshl1]port-security preshared-key pass-phrase abcd0001 


© M MESH 服务 ,车 载 MR 和 AC 上 配置 的 MESH-ID 必须 一 致 ,否则 无 法 建立 
MESH 链 路 。 


[MR]wlan mesh-profile 1 
[MR-wlan-mshp-1]mesh-id sys_mesh 
[MR-wlan-mshp-1]bind WLAN-MESH 1 
[MR-wlan-mshp-1]mesh-profile enable 


@ MESH 链 路 需要 协议 报 文 控 制 链 路 稳定 性 ,大 量 的 控制 报 文 将 占用 MESH 链 路 带宽 ， 
为 了 减少 控制 报 文 占用 MESH 带宽 ,MESH 技术 使 用 信号 阔 值 与 链 路 条 数 减 少 控制 报 文 ; 同 
时 ,为 了 保证 MESH 链 路 稳定 切换 ,需要 配置 主 链 路 保持 时 间 和 主 备 链 路 切换 信号 阔 值 ; + 
链 路 切换 之 后 ,需要 及 时 更 新 轨 旁 设备 的 MAC 地 址 表 项 ,在 MR 上 需要 定义 车 载 主机 信息 ， 
MESH 链 路 切换 之 后 ,车载 MR 代理 发 送 GARP 更 新 轨 旁 设备 表 项 。 


[AC] wlan mp-policy rail_policy 

[AC-wlan-mp-policy-rail_policy]link-switch-margin 8 
[AC-wlan-mp-policy-rail_policy]link-hold-rssi 21 
[AC-wlan-mp-policy-rail_policy]link-maximum-number 3 
[AC-wlan-mp-policy-rail_policy]link-hold-time 3000 

[AC-wlan-mp-policy-rail_policy] mlsp enable 

[AC-wlan-mp-policy-rail_policy] mlsp-proxy mac-address 000d-56dc-ba64 vlan 100 ip 10.2.4.9 


© MR 全 局 创建 业务 VLAN ,并 配置 以 太 网 口 放 通 业务 VLAN。 如 果 存 在 组 播 业务 , 需 
要 在 全 局 视图 和 VLAN 视图 开启 二 层 组 播 协议 ,并 开启 未 知 组 播 丢 弃 。 


[MR]igmp-snooping // 如 果 没 有 组 播 业务 可 以 省 略 
[MR] lan 100 
[MR--igmp-snooping]igmp-snooping enable // 如 果 没 有 组 播 业务 可 以 省 略 


[MR--igmp-snooping]igmp-snooping drop-unknown  ”// 如 果 没 有 组 播 业 务 可 以 省 略 
[MR]interface Ethernet1/0/1 
[MR-GigabitEthernet1/0/1] port access vlan 100 


© 调用 MP 策略 和 MESH 服务 ,并 配置 固定 信道 ,信道 号 和 轨 旁 AP 保持 一 致 。 


[MR]interface WLAN-Radio1/0/2 
[MR-wlan-Radio1/0/2]channel 13 
[MR-wlan-Radio1/0/2]mp-policy 1 
[MR-wlan-Radio1/0/2]mesh-profile 1 


7.2.6 无 线 终端 硬件 故障 排查 “Ñ 


无 线 终 讲 硬件 故障 排查 
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1. 开始 

无 线 终端 硬件 故障 排查 ,首先 观察 外 观 指示 灯 是 否 正常 ,其 次 排查 供电 是 否 正常 ,然后 登 
录 查 看 是 否 正 常 启动 ,最 后 通过 命令 行 排查 端口 及 设备 状态 。 

2. 流程 图 相关 操作 说 明 

(1) 指示 灯 是 否 正常 

指示 灯 状 态 可 以 协助 判断 当前 AP 工作 状态 ,观察 AP 面板 呼吸 灯 和 接口 指示 灯 状 态 ， 
AP 面板 呼吸 灯 和 接口 指示 灯 状 态 说 明 请 参考 各 型 号 AP 的 安装 指导 手册 。 

(2) 是 否 正常 上 电 

检查 POE 受 电 是 否 正常 ,POE 供电 端口 及 网 线 是 否 正常 。 

一 般 情况 下 ,根据 AP 本 身 功 耗 选择 合 标的 POE 端口 即 可 ,如 出 现 POE 无 法 受 电 ,在 相 
E] POE 供电 端口 及 网 线 的 条 件 下 ,对 相同 型 号 的 AP( 功 耗 相 当 的 AP) 进 行 替 换 测 试 即 可 确 
认 故 障 。 

本 地 电源 供电 环境 可 以 替换 电源 适配器 测试 。 

(3) 是 否 正 常 启动 

开机 或 运行 过 程 重启 ,常见 为 下 面 两 种 情况 。 

O 找 不 到 启动 文件 ,确认 启动 文件 本 身 是 否 正常 或 Flash 故障 导致 启动 文件 异常 ,此 时 
可 以 使 用 Ctrl 十 F 组 合 键 格式 化 Flash 后 重新 加 载 启动 文件 。 需 确认 AP 工作 模式 和 软件 版 
本 是 否 一 致 ,如 格式 化 过 程 报错 , 需 要 更 换 AP. 

@ BootWare 提示 CRC 错误 : 使 用 Ctrl+T 组 合 键 在 设备 开始 启动 时 测试 ,如 出 现 内 存 
Fail 则 内 存 故障 ,需要 更 换 AP。 

(4) 检查 启动 打印 信息 里 异常 记录 

设备 上 电 后 ,Console 接口 打印 启动 信息 是 否 存在 异常 。 在 确认 AP 启动 异常 后 ,在 许可 
的 操作 范围 内 , 先 尝试 进行 “三 板 侩 "(重启 ,格式 化 ,重新 导 版 本 ) 操 作 , 如 果 故 障 依旧 可 参照 本 
文 举例 问题 处 理 , 若 再 不 行 请 收集 相关 信息 拨打 400 热线 。 

(D 如 果 Local log 中 见 到 如 下 报错 信息 ,可 以 确认 硬件 故障 。 


(a) Exception Name: Bus error exception (data load or store)! 


(b) Check net params crc error, use the default value! 
(c) Exception nesting occurred on vcpu 0! 
Fatal Error, Suspend System now! 

© 如 果 出 现 以 下 信息 ,一 般 为 版 本 不 配套 或 异常 导致 ,建议 Bootrom 下 格式 化 Flash 后 
重新 上 传 正 确 软件 版 本 的 。 

(a) Unknow equipment tag: WA2610-AGN. cannot initialize extra attribute! 

(b) !ulBoardType ERROR!!! 

@ 如 果 出 现 以 下 信息 ,多 为 射频 卡 异 常 或 丢失 ,需要 返修 。 

(a) Device attach error! 同时 伴随 反复 重启 。 

(b) display current-configuration 看 到 的 interface WLAN-Radio 接口 数 与 设备 型 号 不 符 。 
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(c) Exception 


Exception Number: 0x10 

Exception Name: DATA EXCEPTION 
Exception Instruction: 0x003BD2A4 
Exception Slot: 0 

Exception Task: N/A (TID: 0xffffffff) 
Exception Stack Base: Oxffffffff 


(d) Calling reschedule functions in IRQ context is not allowed! 
Fatal Error, Suspend System now! 
@ 如 果 出 现 以 下 信息 ,多 为 Bootrom 异常 导致 ,可 使 用 FAT AP 版 本 内 的 . btw 文件 升 
级 基本 段 
(a) Boot ROM program does not exist. 
(b) Reserved Instruction Exceptionion 
Exception Program Counter; 0x81200000 
Status Register: 0x1000c000 
Cause Register: 0x30800028 
Task: 0x817f61e0 "tBoot" 
(c) AP 启动 过 程 中 没有 Press Ctrl+B to enter extended boot menu... 但 是 仍然 可 以 进入 
系统 命令 行 。 
(d) System is starting... 
readed value is 9170ce2a , expected value is 55555555 
DRAM test fails at; 803c0004 
DRAM test fails at: 803c0004 
Fatal error! Please reboot the board. 
(5) 环境 及 硬件 状态 是 否 正 常 
D 环境 状况 。 
命令 ， display environment 
例如 : 各 传感器 温度 应 处 于 低温 告警 门限 与 一 般 级 高 温 告 警 门 限 之 间 , 如 出 现 异 常温 度 
告警 ,比如 一 1C 255°C 等 ,一 般 是 软件 版 本 问题 或 温度 传感器 硬件 故障 ,需要 更 换 AP。 


<H3C>display environment 
System Temperature information (degree centigrade) : 
SlotNo Temperature Lower limit Upper limit 
1 255 5 60 


© AP 硬件 运行 状况 。 
命令 : display device 
例如 : 正常 应 该 是 Normal, 出 现 Fault 一 般 为 故障 。 


<H3C>display device 
Slot No. Board Type Status Max Ports 
1 WA2620FAGN Board Fault 4 
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(6) 端口 自 检 、 光 口 自 检 

O 检查 以 太 网 口 是 否 正常 ,检查 上 联 设 备 端 口 及 网 线 是 否 正 常 。 

除了 端口 自 检 的 几 种 常见 故障 外 ,有 的 时 候 会 出 现 以 太 网 口 无 法 Up 的 情况 ,此 时 处 理 方 
法 可 参考 POE 故障 检测 ,在 相同 POE 供电 端口 及 网 线 的 条 件 下 ,对 相同 型 号 的 AP( 功 耗 相当 
的 AP) 进 行 替换 测试 即 可 确认 故障 。 
命令 : display inter face brief 
例如 : 如 果 显 示 GE1/0/1 端口 状态 为 half ,需要 确认 是 否 两 端 配置 不 一 致 导致 。 


<H3C>4isplay interface brief 

The brief information of interface(s) under route mode: 
Link: ADM - administratively down; Stby - standby 
Protocol: (s) - spoofing 


Interface Link Protocol Main IP Description 
NULLO Up Up(s) -- 
Vlan1 Up Up K Pag] 


WLAN-Radiol/0/1 Up Up -- 
WLAN-Radiol/0/2 Up Up == 


The brief information of interface(s) under bridge mode: 

Link: ADM - administratively down; Stby - standby 

Speed or Duplex: (a)/A - auto; H - half; F - full 

Type: A - access; T - trunk; H - hybrid 

Interface Link Speed Duplex Type PVID Description 
GE1/0/1 Up IG) H TY 


@ 是 否 没 有 必要 启动 流 控 端口 配置 流 控 。 
MS: display current-con figuration inter face 
例如 : 查看 GE1/0/1 配置 ,开启 了 Flow Control 配置 。 一 般 建议 关闭 该 端口 流 控 : Undo 


Flow Control, 


<H3C>display current-configuration interface 
# 
interface GigabitEthernet1/0/1 

port link-type trunk 

port trunk permit vlan all 

flow-control 


O 是 否 有 比较 频繁 的 端口 Up/Down, 

MS: display logbuffer 

例如 : 查看 GE1/0/1 频繁 Up/Down ,需要 检查 线路 和 中 间 连 接 的 光电 转换 器 , 千 兆 端口 
检查 光 功 率 是 否 处 于 临界 值 , 检 查 两 端 配置 是 否 一 致 。 


<H3C>display logbuffer 

Logging buffer configuration and contents:enabled 
Allowed max buffer size : 1024 

Actual buffer size : 512 

Channel number : 4 , Channel name : logbuffer 
Dropped messages : 0 

Overwritten messages : 0 

Current messages : 15 
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% Dec 30 23:25:27:468 2011 H3C IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/1 link status 


is Up. 
% Dec 30 23:25:27:468 2011 H3C IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/1 link status is| 


Down. 
¿Dec 30 23:25:27:469 2011 H3C IFNET/3/LINK_ UPDOWN: GigabitEthernet1/0/1 link status| 


is Up. 
% Dec 30 23:25:27:469 2011 H3C IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/1 link status is| 


Down. 


@ 端口 出 /入 方向 是 否 有 大 量 的 错误 报 文 。 

MS: display inter face GigabitEthernet 

例如 : 查看 GE1/0/1 入 方向 出 现 大 量 CRC 错 包 , 需 检 查 线 路 质量 ,中 间 连 接 的 光电 转换 
器 ; 两 端 配置 是 否 一 致 yx 是 否 一 端 为 强制 而 对 端 为 协商 ” H3C 设备 与 其 他 厂商 设备 互 连 , 建 
议 光 口 速率 和 双 工 设置 要 完全 一 致 。 光 口 是 否 有 CRC 错误 ? 是 否 在 增长 ? 检查 光 功 率 是 否 
处 于 临界 值 ? 可 以 通过 更 换 光 模块 、 更 换 尾 纤 或 清洗 光 模 块 连接 器 的 方式 解决 。 


<H3C>display interface GigabitEthernet 1/0/1 
GigabitEthernet1/0/1 current state: Up 
Last clearing of counters: Never 
Last 300 seconds input: 0 packets/sec 14 bytes/sec 0% 
Last 300 seconds output: 0 packets/sec 0 bytes/sec 0% 
Input (total) : 602789 packets, 147083765 bytes 
126789 unicasts, 0 broadcasts, 590 multicasts, - pauses 
Input (normal): 602 packets, 147083 bytes 
12 unicasts, 0 broadcasts, 590 multicasts, - pauses 
Input: 6734 input errors, 0 runts, 0 giants, - throttles 
3214 CRC, 0 frame, 0 overruns, 0 aborts 
0 ignored, - parity errors 
Output (total): 12 packets, 816 bytes 
10 unicasts, 2 broadcasts, 0 multicasts, - pauses 
Output (normal): 12 packets, 816 bytes 
10 unicasts, 2 broadcasts, 0 multicasts, - pauses 
Output: 0 output errors, 0 underruns, 0 buffer failures 
0 aborts, 0 deferred, 0 collisions, 0 late collisions 
- lost carrier, 0 no carrier 
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1. 开始 

WLAN 在 使 用 过 程 中 ,有 时 候 会 发 现 无 线 终端 (STA) 在 ping 其 他 设备 时 ,会 出 现 连续 丢 
包 现 象 。 这 种 情况 下 可 能 还 伴随 ping 延 时 增 大 ( 几 百 毫秒 ) ,并 导致 一 些 应 用 感觉 不 是 很 好 ， 
例如 下 载 速 度 变 慢 、 视 频 出 现 抖动 等 。 这 种 情况 是 WLAN 网 络 中 比较 琼 手 的 问题 ,一 方面 
WLAN 本 身 有 一 个 复杂 的 ,不 容易 评估 的 空间 媒质 ,导致 空 口 的 不 稳定 性 ; 另 一 方面 还 要 综 
合 考 虑 整个 有 线 、 无 线 网 络 的 网 络 配 置 和 性 能 。 

如 图 7-29 所 示 是 一 个 典型 的 WLAN 基本 网 络 构 成 (FIT AP 组 网 方式 ), 当 Station ping 
服务 器 丢 包 严重 时 ,需要 按照 报 文 转发 途径 来 考虑 丢 包 的 可 能 性 。 


图 7-29 典型 的 WLAN 基本 网 络 构 成 


定位 故障 的 思路 如 下 。 

首先 ,通过 测试 判断 终端 能 否 正常 连接 、 获 取 地 址 。 

其 次 ,判断 有 线 网 络 是 否 存在 丢 包 问题 。 

再次 ,判断 无 线 终端 状态 、 空 口 利用 率 、 空 口 质 量 、 底 噪 是 否 正常 。 
最 后 ,通过 收集 debugging 信息 分 析 问 题 原 因 。 

2. 流程 图 相关 操作 说 明 

(1) 终端 能 否 ping 通 网 关 

O ping 测试 具体 操作 。 

命令 : ping 192. 168. 1.3 

例如 : 通过 命令 查看 ,可 以 确认 当前 网 络 丢 包 属 于 哪 种 类 型 。 


D:\>ping 192.168.1.3 


Pinging 192.168.1.3 with 32 bytes of data: 


Reply from 192.168.1.3: bytes=32 time=19ms TTL=255 
Reply from 192.168.1.3: bytes=32 time=4ms TTL=255 
Reply from 192.168.1.3: bytes=32 time=3ms TTL=255 
Reply from 192.168.1.3: bytes=32 time=4ms TTL=255 


Ping statistics for 192.168.1.3: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times in milli-seconds: 

Minimum = 3ms, Maximum = 19ms, Average = 7ms 


加 无 线 网 络 丢 包 说 明 。 
从 目前 的 协议 分 析 和 实际 应 用 来 看 ,无 线 网 络 可 能 无 法 实现 真正 的 零 丢 包 。 空 口 利用 率 
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正常 .无 干扰 的 情况 下 ,3% 以 内 的 丢 包 是 可 以 接受 的 范围 。 

(2) 判断 有 线 网 络 是 否 正常 

O 如 果 网 关 不 在 AC 上 ,需要 做 终端 ping AC 地 址 的 测试 。 

第 一 ,如 果 ping 网 关 异 常 但 是 ping AC 正常 , 则 需要 排查 AC 至 网 关 二 层 网 络 。 

第 二 ,如 果 ping 网 关 、AC 均 异 常 , 则 需要 排查 有 线 丢 包 。 

@ 如 果 终 端 在 线 则 直接 通过 命令 行 查 到 当前 AP 地 址 ,然后 通过 AC ping AP 判断 AC 
到 AP 的 有 线 网 络 链 路 状态 ,如 果 终 端 不 在 线 , 则 直接 进入 下 一 个 环节 。 

第 一 ,查找 当前 终端 所 连接 AP 的 名 称 。 

MS: display wlan client mac-address 0024-d79c-a f4c verbose 

例如 : 通过 命令 查看 ,可 以 确认 终端 当前 连接 AP 的 名 字 。 


[AC]display wlan client mac-address 0024-d79c-af4c verbose 


AP Name : apl 


第 二 ,查看 终端 当前 连接 AP 的 地 址 。 

MẸ: display wlan ap name apl verbose 

例如 : 通过 命令 查看 ,可 以 确认 AP1 的 地 址 为 192. 168. 1. 6 ,在 线 时 长 为 22 个 小 时 ,如 果 
在 线 时 间 很 短 , 则 证 明 AP 注册 存在 问题 ,需要 参考 注册 指导 排查 问题 原因 。 


[AC]display wlan ap name apl verbose 


Up Time(hh:mm:ss) 1 22:06:21 


IP Address : 192.168.1.6 


第 三 ,在 AC 上 ping AP 地 址 ,观察 网 络 质量 。 
命令 : ping 192. 168. 1. 6 
例如 : 通过 命令 查看 ,可 以 确认 AC 到 AP 这 段 有 线 网 络 是 否 正常 。 


[ACJping 192.168.1.6 
PING 192.168.1.6: 56 data bytes，press CTRL_C to break 
Reply from 192.168.1.6: bytes=56 Sequence=1 ttl=255 time=1 ms 


--- 192.168.1.6 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/1 ms 


(3) 请 排查 有 线 网 络 丢 包 

通过 逐 级 ping、 抓 包 方式 明确 具体 丢 包 的 位 置 .再 检查 二 层 、 三 层 设 置 是 否 符合 规范 , 涉 
及 具体 协议 可 参考 各 协议 的 故障 排查 指导 。 

(4) 排查 无 线 接 入 问题 

D 可 以 在 AC 上 通过 命令 查看 用 户 的 关联 状态 。 

MS: display wlan client mac-address 0024-d79c-a f4c 

例如 : 通过 命令 查看 无 线 用 户 有 无 关联 AC。 
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[AC]display wlan client mac-address 0024-d79c-af4c 
Total Number of Clients wel 
Client Information 


MAC Address User Name APID/RID IP Address VLAN 


@ 排查 无 线 接 入 问题 。 
第 一 ,检查 终端 无 线 网 卡 是 否 正常 打开 。 
第 二 ,检查 是 否 在 终端 服务 中 开启 无 线 服务 ,例如 Windows 操作 系统 中 ,要 开启 Wireless 
Zero Configuration 。 
在 “服务 ”中 找到 Wireless Zero Configuration ,并 开启 该 服务 即 可 ,如 图 7-30 所 示 。 
旦 计算 机 管理 


WD 操作 (8) SEV BOW EMH 
[m m | m ai m 


Wireless Zero Configuration E 
) Windows CardSpace 
停止 此 服务 windows Firewall/lnternet Connection Sharing (ICS) 
重 后 动 此 服务 windows Image Acquisition (WIA) 
Sy windows Installer 


可 移动 存储 Sa windows Management Instrumentation 


描述 
磁盘 碎片 整理 程序 为 您 的 802.11 适配器 提供 自动 配置 。 全 ey windows Management Instrumentation Driver Extensions 


windows Presentation Foundation Font Cache 3.0.0.0 
windows Presentation Foundation Font Cache 4.0.0.0 
Riy windows Time 


> Wired AutoConfi 
m RB 索引 服务 
WanCientTester_DB_SerVice 


Sy WMI Performance Adapter 
Sh workstation 
SL ServicePlatform 


图 7-30 开启 Wireless Zero Configuration 


第 三 ,检查 终端 是 否 工作 在 正常 的 无 线 终端 模式 ,如 果 错 误 的 设置 成 AP 模式 则 无 法 作为 
无 线 终端 使 用 。 

第 四 ,检查 终端 是 否 关联 正确 的 SSID。 

(5) 排查 DHCP 问题 

O E STA 上 单 击 “ 开 始 ” 按 钮 ~“ 运行 "一 输入 “cmd” 一 按 回 车 键 ,通过 命令 行 查看 终端 
也 址 获取 情况 。 

命令 : ipconfig /all 

例如 : 通过 命令 查看 ,可 以 确认 本 机 获取 IP 地 址 192. 168. 1.8. 


D:\>ipconfig /all 
Ethernet adapter 无 线 网 络 连接 : 


Ethernet adapter 无 线 网 络 连 接 : 


IP Address. ...........:192.168.1.8 
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@ 如 果 没 有 正常 获取 地 址 , 则 需要 排查 DHCP 问题 。 

请 参考 : IP 业务 一 一 DHCP 排查 模块 。 

(6) 判断 终端 在 线 状 态 是 否 正 常 

MS: display wlan client mac-address 0024-d79c-a f4c verbose 

例如 : 通过 命令 查看 ,可 以 确认 MAC 为 0024-d79c-af4c 的 终端 正常 上 线 。 


[AC]display wlan client mac-address 0024-d79c-af4c verbose 
Total Number of Clients wl 
Client Information 
MAC Address : 0024-d79c-af4c 
Power Save Mode : Active 
RSSI :33 
Rx/Tx Rate : 300/300 
Up Time (hh:mm:ss) : 00:01:05 


O Power Save Mode 表示 终端 状态 , 当 终端 处 于 休眠 状态 则 ping 延 时 会 比较 大 ,一 般 会 
大 于 Beacon 间隔 。 
@ RSSI 表示 AP 收 到 的 终端 信号 强度 ,信号 强度 应 该 尽量 达到 30 之 上 。 
© Rx/Tx Rate, 如 果 Rx Rate 始终 保持 在 较 低速 率 ( 例 如 1、2、11) ,该 客户 端 所 在 的 环境 
可 能 丢 包 比较 严重 ,需要 对 空间 使 用 情况 进行 分 析 。 
@ Up Time 表示 用 户 在 线 时 间 ,如果 Up Time 时 间 比 较 短 ,而 该 用 户 已 经 长 时 间 使 用 无 
线 网 络 ,需要 考虑 该 用 户 是 否 出 现 过 漫游 。 
(7) 根据 终端 状态 依次 改善 网 路 状况 
D 无 线 用 户 的 信号 强度 RSSI 偏 低 ( 低 于 25), 则 需要 分 析 一 下 该 用 户 状态 以 及 对 整个 网 
络 的 影响 ,尽量 提高 无 线 用 户 的 信号 。 可 以 通过 调整 天 线 .增加 AP 的 方式 改善 信号 覆盖 。 
@ 无 线 用 户 的 Rx 和 Tx 速率 偏 低 : 通常 说 明 空 口 环境 不 是 特别 好 、 甚 至 丢 包 比较 多 , 需 
要 进行 空 口 的 分 析 ( 例 如 信道 占用 情况 、 确 认 网 络 流量 ), 适 当 进 行 流 量 控制 或 者 无 线 用 户 的 
限 速 。 
@ 无 线 用 户 漫游 比较 频繁 (在 各 个 AP 上 持续 的 时 间 都 比较 短 ): 可 以 适当 的 调整 这 台 
户 端 连接 的 AP 的 发 射 功率 减少 用 户 的 漫游 ,或 者 将 网 卡 的 漫游 主动 性 调 低 。 
@ 终端 处 于 休眠 状态 则 ping 延 时 会 比较 大 ,一 般 会 大 于 Beacon 间隔 。 
(8) 判断 无 线 空 口 利 用 率 是 否 正常 
D 需要 登录 AP 查看 空 口 利用 率 。 
第 一 ,查找 当前 终端 所 连接 AP 的 名 称 。 
命令 : display wlan client mac-address 0024-d79c-a f4c verbose 
例如 : 通过 命令 查看 ,可 以 确认 当前 终端 所 连接 AP 的 名 字 。 


[AC]display wlan client mac-address 0024-d79c-af4c verbose 
AP Name : apl 
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第 二 ,查看 当前 终端 所 连接 的 AP 的 地 址 。 
命令 : display wlan ap name apl verbose 


例如 : 通过 命令 查看 ,可 以 确认 AP1 的 地 址 为 192. 168. 1. 6 


[AC]display wlan ap name apl verbose 


IP Address : 192.168.1.6 


第 三 ,打开 AP 远程 登录 开关 ,通过 AC 登录 到 AP 上 。 

命令 : [ACJ]_h 
[AChidecmd Jwlan a p-ezecute ap2 telnet enable 
[AChidecmd Jwlan ap-execute ap2 exec-control enable 
[AChidecmd ]quit 
[AC]quit 
<AC>telnet 192. 168. 1. 6 

例如 : 通过 在 AC 上 Telnet, 可 以 成 功 登 录 到 终端 所 关联 的 AP 上 。 


[AC]_h 

Now you enter a hidden command view for developer’ s testing, some commands may affect operation by| 
wrong use, please carefully use it with our engineer's direction. 

[AC-hidecmd]wlan ap-execute ap2 telnet enable 

[AC-hidecmd] wlan ap-execute ap2 exec-control enable 

[AC-hidecmd]quit 

[AC]quit 

<AC> telnet 192.168.1.6 


第 四 ,查看 信道 利用 率 , 判 断 空 口 繁忙 情况 。 
命令 : display ar5drv 1/2( 单 频 AP 只 有 一 个 射频 口 , 双 频 AP 则 1 表示 5G 视频 口 ,2 表 
示 2.4G 射频 口 ) channelbusy 
例如 : 通过 命令 查看 ,AP 的 5G 射频 口 空 口 目 前 处 于 正常 状态 , 当 CtlBusy 高 于 60 时, 则 
表示 空 口 繁 忙 。 


<AP>sys 
System View: return to User View with Ctrl 十 Z. 
[AP]_h 
[AP-hidecmd] display ar5drv 1 channelbusy 
ChannelBusy information 
Ctl Channel: 149 Channel Band: 40M 
Ext Channel: Above 
Record Interval(s): 9 
Date/Month/Year: 03/05/2013 
Time(h/m/s): CtlBusy(%) TxBusy(%) RxBusy(%) ExtBusy(%) 


01 11:18:35 68 37 28 0 
02 11:18:26 67 36 29 0 
03 11:18:17 63 35 26 0 
04 11:18:08 78 40 33 0 
05 11:17:59 81 43 36 0 
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© 如 果 一 个 AP 用 户 大 于 15, 且 用 户 使 用 频繁 , 则 空 口 利用 率 必然 会 比较 高 。 
命令 : display wlan client ap ap2 
例如 : 通过 命令 查看 ,可 以 确认 当前 终端 所 关联 的 AP 下 总 共有 15 个 终端 。 


[AC]display wlan client ap ap2 
Total Number of Clients nis 
Client Information 


0024-d79c-af4c -NA- 2 /1 192.168.1.8 1 


(9) 通过 软件 优化 、 硬 件 调整 降低 空 口 繁忙 度 

请 参考 无 线 产品 维护 手册 一 一 空 口 优化 维护 手册 。 

(10) 判断 无 线 空 口 统计 是 否 正常 

O 需要 登录 AP 查看 统计 信息 是 否 正常 。 

第 一 ,查找 当前 终端 所 连接 AP 的 名 称 

命令 : display wlan client mac-address 0024-d79c-a f4c verbose 
例如 : 通过 命令 查看 ,可 以 确认 当前 终端 所 连接 AP 的 名 字 。 


[AC]display wlan client mac-address 0024-d79c-af4c verbose 


AP Name : apl 


第 二 ,查看 当前 终端 所 连接 的 AP 的 地 址 。 
MA: display wlan ap name apl verbose 


例如 : 通过 命令 查看 ,可 以 确认 AP1 的 地 址 为 192. 168. 1. 6 


[AC]display wlan ap name apl verbose 


IP Address : 192.168.1.6 


第 三 ,打开 AP 远程 登录 开关 ,通过 AC 登录 到 AP 上 。 

命令 : [LAC]_ 
[AChidecmd Jwlan ap-execute ap2 telnet enable 
LAC-hidecmd Jwlan ap-execute ap2 exec-control enable 
[AChidecmd Jguit 
[AC ]quit 
<AC>telnet 192. 168.1. 6 

例如 : 通过 在 AC 上 telnet, 可 以 成 功 登录 到 终端 所 关联 的 AP 上 。 


[ACJ_h 

Now you enter a hidden command view for developer’ s testing, some commands may affect operation by 
wrong use, please carefully use it with our engineer’s direction. 

[AC-hidecmd]wlan ap-execute ap2 telnet enable 
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[AC-hidecmd] wlan ap-execute ap2 exec-control enable 
[AC-hidecmd] quit 

[AC]quit 

<AC> telnet 192.168.1.6 


© 查看 AP 空 口 统计 情况 ,判断 空 口 质量 。 
命令 : display ar5dru 1/2( 单 频 AP 只 有 一 个 射频 口 , 双 频 AP 则 1 表示 5G 视频 口 ,2 表 
示 2. 4G 射频 口 ) statistics 


[AP-hidecmd] display ar5drv 1 statistics 
Radio statistics: 


TxFrameAllCnt : 40693 
TxFrameAllBytes : 7293360 

Queue statistics 
Queue Number :0 1 2 3 EmergencyQ CAB 
TxFrameCnt :152 5745 0 0 1883 2729 
TxUcastFrameCnt: 152 3780 0 0 1883 0 
TxDiscardFrame:2 4 0 0 31 2 


RadioResetOnErr : 0 


BeaconBusyCnt Gy 


列 。 


BeaconErrCnt :0 
说 明 : 


第 一 ,每 个 Radio 有 4 个 普通 发 送 队 列 和 1 个 紧急 发 送 队 列 , 通 常数 据 报 文 都 走 1 号 队 
通常 我 们 主要 关注 1 号 队列 。 

第 二 ,TxDiscardFrame 表示 此 队列 丢弃 的 报 文 总 数 , 包 括 发 送 失 败 和 队列 溢出 的 报 文 。 
第 三 ,TxDiscardFrame/TxUcastFrameCnt 表示 丢 包 率 ,如 果 超 过 3% 的 时 候 就 应 当 警 惕 了 。 
第 四 ,RadioResetOnErr 意味 着 Radio 芯片 复位 ,会 导致 丢 包 ,正常 情况 下 不 应 当 出 现 这 


个 错误 。 


第 五 ,BeaconBusyCnt 和 BeaconErrCnt 表示 AP Riž Beacon 的 繁忙 度 及 错误 统计 ,此 处 


可 以 看 出 空 口 的 质量 ,如 果 出 现 增长 则 会 出 现 丢 包 现象 。 


@ 查看 AP 各 个 栈 的 使 用 情况 。 
MS: display ar5drv 1 queue all 


[AP-hidecmd] display ar5drv 1 queue all 


Name Queue Head Tail DescCount FrameCount FrameLimit 
Rev 0x87806a30 0xa72d3e60 0xa72d3ce0 512 100 512 

ACO 0x87806a78 0xa742b540 0xa742b540 0 0 10 

AC1 0x87806ab8 0xa742d340 0xa742d340 0 0 10 

AC2 0x87806af8 0x00000000 0x000000000 0 10 

AC3 0x87806b38 0x00000000 0x000000000 0 10 

Emg 0x878090e8 0xa7429440 0xa7429440 0 0 0 

CAB 0x87809068 0xa73e3cc0 0xa73e3cc0 0 0 100 

Ben 0x878090a8 0xa72fd440 0xa72fd440 125959 Yi: 0 

Ept 0x878069e8 0xa742c5c0 0xa742c440 4964 0 5000 
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说 明 : 

第 一 ,FrameCount 如 果 不 为 零 则 表示 当前 报 文 有 积压 情况 。 偶 尔 的 几 个 报 文 积压 不 会 
引起 什么 问题 ,但 长 时 间 积 压 上 百 个 报 文 就 应 当 引 起 警惕 。 通 常 我 们 主要 关注 AC1( 即 1 号 
队列 ) 。 

第 二 ,FrameLimit 表示 每 个 栈 的 上 限 。 

(11) 排除 空 口 干扰 降低 底 噪 干扰 

O AP 上 查看 底 噪 是 否 正常 。 

第 一 ,查找 当前 终端 所 连接 AP 的 名 称 。 

MA: display wlan client mac-address 0024-d79c-a f4c verbose 

例如 : 通过 命令 查看 ,可 以 确认 当前 终端 所 连接 AP 的 名 字 。 


[AC]display wlan client mac-address 0024-d79c-af4c verbose 


AP Name : apl 


第 二 ,查看 当前 终端 所 连接 的 AP 的 地 址 。 
命令 : display wlan ap name apl verbose 


例如 : 通过 命令 查看 ,可 以 确认 AP1 的 地 址 为 192. 168. 1. 6。 


[AC]display wlan ap name apl verbose 


IP Address : 192.168.1.6 


第 三 ,打开 AP 远程 登录 开关 ,通过 AC 登录 到 AP 上 。 

命令 : [AC]_h 
[AChidecmd Jwlan a p-execute ap2 telnet enable 
[AC-hidecmd Jwlan a p-execute ap2 exec-control enable 
[AC-hidecmd ]quit 
[AC ]quit 
<AC>telnet 192. 168. 1. 6 

例如 : 通过 在 AC 上 telnet, 可 以 成 功 登 录 到 终端 所 关联 的 AP 上 。 


[AC]_h 

Now you enter a hidden command view for developer’ s testing, some commands may affect operation by| 
wrong use, please carefully use it with our engineer's direction. 

[AC-hidecmd]wlan ap-execute ap2 telnet enable 

[AC-hidecmd]wlan ap-execute ap2 exec-control enable 

[AC-hidecmd]quit 

[AC]quit 

<AC> telnet 192.168.1.6 


第 四 ,查看 AP 空 口 统计 情况 ,判断 空 口 质量 。 
MẸ: display ar5dru 1/2( 单 频 AP 只 有 一 个 射频 口 , 双 频 AP 则 1 表示 5G 视频 口 ,2 表 


示 2. 4G 射频 口 ) calibration( 列 出 合格 标准 ) 
例如 : 当 Value 值 高 于 一 80 的 时 候 就 需要 警惕 ,可 借助 仪器 分 析 原 因 。 


EA 无 线 产 品 843 


[AP-hidecmd] display ar5drv 1 calibration 
Calibration Information: 
Calibration Enable: YES 
Calibration Interval: 1000 Reset Radio Count: 0 
iqCalState: CAL_DONE I: 62/60/58, Q: —4/0/—2 
iqCalValid: True 
NoiseFloor: 一 93 
RfGainState: Inactive 
NF Record: 
Num: NF Value time AGC-CONTROL 
0 = 17:54:43:038 10/05/2013 FFFFFFFF 
1 — 3 17:54:44:038 10/05/2013 FFFFFFFF 
2 sa 17:54:45:038 10/05/2013 FFFFFFFF 


@ 借助 分 析 工 具 分 析 。 可 以 使 用 黄 马 甲 ,IEEE 802. 11b/g 版 本 及 以 上 的 黄 马夹 是 支持 
用 户 检 查 和 确定 AP( 接 入 点 )、 和 RSSI 信号 电 平 、 全 频谱 扫描 等 内 容 。 或 者 使 用 频谱 仪 频谱 
(Spectrum) 模 式 可 以 对 测试 点 进行 频谱 与 干扰 分 析 。 

(12) 收集 终端 抓 包 、 空 口 抓 包 、debugging 信息 

定位 问题 如 果 终 端 可 以 抓 包 则 不 需要 空 口 抓 包 即 可 ,如 果 是 说 明证 明 问题 , 则 需要 进行 
空 口 抓 包 , 如 果 终 端 不 支持 抓 包 , 则 需要 进行 空 口 抓 包 。 

@ 终端 抓 包 推荐 使 用 Wireshark/Ethereal 进行 抓 包 。 

第 一 ,为 了 便于 抓 包 分 析 ,可 以 在 无 线 客户 端 ping 固定 大 小 的 报 文 , 例 如 130B。 

第 二 ,提供 抓 包 信息 的 时 候 ,收集 抓 包 信息 后 一 定 要 提供 无 线 客户 端的 MAC 地 址 和 IP 
地 址 。 

第 三 , 报 文 分 析 时 可 以 根据 报 文 大 小 ,确定 是 否 每 一 个 ping request 报 文 都 很 快 有 ping 
reply 回应 消息 。 

第 四 ,如 果 两 边 抓 包 ,可 以 通过 ping 报 文 的 序列 号 进行 匹配 分 析 ,确定 两 个 抓 包 的 相对 时 
间 进 行 对 比分 析 ,确定 延 时 情况 和 报 文 丢失 情况 。 

第 五 ,在 无 线 笔记 本 上 使 用 Ethereal 进行 抓 包 ,使 用 该 工具 选用 无 线 网 卡 后 ,需要 将 如 
图 7-31 所 示 ,取消 选中 “Capture packets in promiscuous mode” 复 选 框 , 才 可 以 抓 包 。 


@ Ethereal: Capture Options 
Capture 
Interface: | Generic dialup adapter: \DeviceiNPF_GenericDialupAdapter EJ 
IP address: unkni 
a Buffer size: |1 $ megabyte(s) 
[Capture packets in promiscuous mode? 


Limit each packetto |68 (2 bytes 


图 7-31 使 用 Ethereal 进行 抓 包 设置 


@ 空 口 抓 包 可 以 使 用 Omnipeek/Airmagnet 进行 。 

首先 ,在 解决 问题 的 时 候 往 往 * 单 兵 作战 ,很 难 进行 全 面 的 同时 抓 包 分 析 , 但 是 走 到 了 这 
一 步 “ 已 经 初步 认为 空 口 存 在 丢 包 的 情况 ”, 也 必须 想 办 法 进行 空 口 抓 包 , 下 面 为 抓 包 相关 的 注 
意 事项 。 

第 一 , 抓 包 工具 不 一 定 能 够 将 所 有 的 空 口 报 文 都 抓 上 来 ,也 就 是 在 分 析 过 程 中 要 充分 考虑 
到 可 能 偶尔 有 报 文 接收 不 上 来 的 情况 。 
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第 二 ,无 论 使 用 哪 一 种 抓 包 , 一 定 要 选择 当前 Station 所 在 的 信道 进行 抓 包 。 

第 三 ,ping 有 两 个 方向 ,一 个 为 ping request 从 Station 到 AP, 另 外 一 个 为 ping reply 从 
AP 到 Station。 

第 四 ,为 了 报 文 方便 分 析 , 可 以 ping 指定 大 小 的 报 文 ,例如 130B; 特别 对 于 加 密 的 接 入 一 
定 要 采用 ping 特殊 长 度 的 报 文 。 

其 次 ,关于 抓 包 分 析 的 分 析 方 法 (Omnipeek 的 抓 包 ) 如 图 7-32 所 示 。 


227 IP-123.1.0.99 
228 0. 
229 
230 
231 
232 


IP-123.1.1.10 
+ 00:24:01:30:69:04 
IP-123.1.0.99 
Ethernet Broad... 
ol 


98 2.228638 PING Req 
14 2.228681 802.11 Ack 
98 2.229830 PING Reply 
46 2.260937 602.11 Probe Req 
251 2.263292 802.11 Probe Rsp 
14! 2.181822 602.11 Ack 


说 明 : 802.11 为 了 尽量 保证 单 播 数 据 的 可 靠 传输 ,每 一 个 单 播报 文 都 会 等 待 ACK 确认 。 
例如 无 线 客 户 端 发 送 一 个 报 文 (227) ,AP 接收 到 之 后 会 回应 一 个 ACK 报 文 (228) 。 
相关 分 析 如 下 。 
第 一 ,如 果 收 不 到 ACK 确认 (Station 没有 发 送 ACK ,或 者 AP 没有 收 到 Station 发 送 的 
ACK) , 则 会 进行 报 文 重 传 。 
第 二 ,从 AP 到 Station 以 及 从 Station 到 AP 都 遵循 这 个 规律 。 
第 三 ,AP 设备 默认 重 传 次 数 为 5 次 ,Station 重 传 次 数 不 定 。 
第 四 ,如 果 抓 包 中 连续 出 现 多 个 相同 的 重 传 报 文 ,而 没有 ACK 报 文 , 说 明 该 报 文 可 能 丢失 。 
第 五 ,根据 报 文 MAC 地 址 ,可 以 确定 是 AP 到 Station 丢失 还 是 Station 到 AP ER. 
最 后 ,下 面 的 判断 方法 ,在 一 定 程度 上 可 以 验证 是 否 与 网 卡 关系 密切 ,当前 应 用 过 程 中 还 
是 发 现 了 好 多 网 卡 也 存在 这 样 或 者 那样 的 问题 ,特别 是 11n 网 卡 。 
第 一 ,通常 我 们 习惯 上 用 Station 去 ping 网 关 , 而 很 多 时 候 网 关 不 在 AC 上 ,也 就 是 相当 
于 AC 连接 的 一 台 PC。 更 换 Station, 再 ping 相同 的 PC, 看 是 否 还 丢 包 严重 。 
第 二 ,如 果 不 是 , 则 说 明 原来 Station 自身 很 可 能 存在 问题 ,禁用 或 者 插 拔 网 卡 后 再 重新 使 
用 ,看 能 和 否 恢复 正常 。 如 果 仍 然 丢 包 严重 ,寻求 其 他 帮助 。 
第 三 ,更 换 PC, 再 用 相同 的 Station ping, 看 是 否 还 丢 包 严重 。 
第 四 ,如 果 不 是 , 则 说 明 原来 PC 自身 很 可 能 存在 问题 ,寻求 其 他 帮助 。 实 际 网 络 中 ,通常 
更 换 的 PC 可 以 用 AC 或 者 中 间 的 交换 机 替代 。 
@ 登录 AP 开启 debugging 信息 。 
说 明 : 开启 debug 之 前 ,请 检查 CPU 和 内 存 的 使 用 情况 ,确保 开启 debug 不 会 影响 设备 
的 正常 运行 。 收 集 完 信息 后 请 及 时 关闭 debug。 
命令 : <AP>sys 
[LAP]_A 
LAP-hidecmd ] debugging ar5dro 1 phy packet all verbose 
LAP-hidecmd ]quit 
[AP ]quit 
< AP terminal monitor 
<AP>terminal debugging 
@ 通过 将 抓 包 信 息 与 debugging 信息 对 比 ,可 以 判断 丢 包 的 具体 位 置 。 
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7.3.2 无 线 终端 关联 失败 故障 排查 步骤 详解 


1. 开始 


无 线 客户 端 接 入 802. 11 无 线 网 络 的 过 程 分 为 以 下 4 个 步骤 ,如 图 7-33 所 示 , 
O STA 通过 主动 扫描 或 者 被 动 侦 听 搜 索 附 近 存 在 的 AP. 

@ STA 选择 AP 后 ,向 其 发 起 Authentication 过 程 。 

© 通过 Authentication 后 ,STA 发 起 Association 过 程 。 

@ 通过 Association 后 ,STA 和 AP 之 间 链 路 已 建立 ,可 以 互相 收发 数据 报 文 。 


d M o 
STA J AP 


步骤 2: Authentication 


步骤 3: Association 
PRA: 数据 收发 


图 7-33 无 线 客户 端 接 入 802. 11 无 线 网 络 的 过 程 


在 排查 无 线 终端 关联 失败 故障 的 过 程 中 ,我 们 需要 按照 终端 的 关联 过 程 依次 排查 ,定位 无 
线 终端 关联 问题 的 思路 如 下 。 

首先 ,需要 关注 扫描 过 程 ,是 否 使 用 广播 SSID 方式 ,如 果 使 用 隐藏 SSID 方式 则 需要 检查 
终端 的 设置 ,确保 终端 能 够 发 现 无 线 信号 。 

其 次 ,确保 认证 报 文 交互 成 功 ,这 里 的 认证 只 是 简单 的 AP 与 STA 间 的 Authentication 
报 文 交 互 ,不 是 我 们 常 说 的 802. 1x 或 者 PSK 等 高 级 认证 。 

最 后 ,排查 关联 过 程 ,常用 的 关联 成 功率 也 是 与 这 一 过 程 息息相关 的 ,关联 成 功 后 则 表示 
终端 和 AP 可 以 进行 正常 的 报 文 收发 了 ,然后 才能 进行 加 密 协 商 或 者 其 他 高 级 认证 。 

2. 流程 图 相关 操作 说 明 

(1) 当前 SSID 是 否 采 用 明文 方式 

常见 的 SSID 又 分 为 明文 不 加 密 方 式 和 WEP、WPA、WPA2 等 加 密 方式 ,其 中 加 密 方式 会 
受到 终端 的 支持 度 、 加 密 的 配置 等 多 种 情况 的 影响 。 因 此 在 排查 问题 时 ,我 们 需要 先 明确 当前 
网 络 采 用 的 方式 。 

(2) 新 建明 文 SSID, 测 试 终端 能 否 关 联 成 功 

当 我 们 遇 到 终端 接 人 故障 时 ,可 以 新 建 一 个 明文 ,不 加 密 的 SSID 进行 测试 。 


[AC] wlan service-template 1 clear 
[AC-wlan-st-1] ssid h3c 
[AC-wlan-st-1] bind WLAN-ESS 1 
[AC-wlan-st-1] service-template enable 
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[AC] interface WLAN-ESS 1 

[AC-WLAN-ESS1] port access vlan 1( 使 用 业务 vlan) 
[AC] wlan ap ap model WA2210-AG 
[AC-wlan-ap-ap] serial-id 210235A29EB092002600 
[AC-wlan-ap-ap] radio 1 

[AC-wlan-ap-ap-radio-1] service-template 1 
[AC-wlan-ap-ap-radio-1] radio enable 


(3) 判断 网 络 信号 强度 是 否 达标 

当 终 端 在 信号 很 弱 的 情况 下 ,会 导致 无 线 链 路 非常 不 稳定 。 无 线 网 路 传输 会 对 每 个 报 文 
进行 物理 层 的 确认 ,在 整个 交互 过 程 中 ,任何 一 方 出 现 问题 都 会 导致 终端 接 人 失败 的 现象 。 如 
何 判断 网 络 信号 强度 是 否 达标 ,共有 以 下 几 种 方法 可 以 尝试 (测试 信号 强度 低 于 一 70dBm 为 
不 达标 ) 。 

通过 抓 包工 具 OmniPeek 等 软件 ,分 别 在 AP 和 STA 处 抓 包 查看 对 方 信号 强度 。 

© 通过 信号 分 析 工 具 黄 马甲 .频谱 仪 分 析 信 号 强度 。 

@ 通过 信和 号 勘测 软件 Network Stumbler inSSIDer 分 析 AP 信号 强度 。 

@ 将 终端 放 到 AP 或 天 线 附近 测试 能 否 关联 ,直接 排除 弱 信 号 的 情况 ,以 便 快 速 定位 
问题 。 

(4) 检查 AP 覆盖 状态 

O 判断 当前 AP 是 否 使 用 最 大 发 射 功率 ,如 果 没 有 则 需要 将 发 射 功 率 调整 至 最 大 值 。 

O 检查 AP 馈线 各 个 接口 是 否 松 动 ,如 有 松动 请 及 时 修整 。 

O MERR AP 安装 是 否 规 范 ,请 严格 按照 天 线 安装 手册 进行 操作 。 

(5) 增强 问题 区 域 信号 覆盖 

在 确定 AP 工作 状态 一 切 正常 ,但 是 问题 区 域 信 号 仍然 很 弱 时 ,可 以 通过 调整 天 线 、.AP 的 
位 置 ,或 者 在 该 区 域 增 加 AP 的 方式 ,改善 问题 区 域 信 号 覆盖 强度 。 

(6) AP 关联 用 户 数 是 否 达到 上 限 

当 终 端 无 法 关联 时 ,通过 命令 可 以 查看 当前 AC 的 日 志 , 判 断 是 否 是 当前 AP 的 关联 用 户 
数 达 到 配置 上 限 。 
MA: display logbuffer 
例如 : 通过 查看 logbuffer, 可 以 确认 终端 关联 失败 是 否 是 由 于 AP 达到 用 户 数 上 限 。 
[AC]display logbuffer 
# Jan 2 08:43:04:974 2014 AC_2 WMAC/4/Station Association Fail: Station Assoc Fail:1.3.6.1.4. 
1.2011. 10. 2. 75. 3. 2. 0. 4 < h3cDot11StationAssocFailTrap > StaMac1: 00: 24: D7: 9C: AF: 4C| 
StaMac2:00:24: D7: 9C: AF:4C StaMac3: 00: 24: D7: 9C: AF:4C Radioid:2 SSIDName: test Cause: 2 
Desc: Too Many Associations APID:210235A0T6C129000430 


%Jan 2 08:43:05:020 2014 AC_2 WMAC/5/WMAC_TOO_MANY_ASSO_IN_RADIO: Client 0024- 
d79c-af4c failed to associate because of maximum clients in radio for APID 2, Radiold 2. 


(7) 通过 软件 调整 优化 当前 网 络 关联 用 户 数 
© 增加 idle-timeout 配置 ,时 间 为 10 分 钟 ,来 清除 异常 下 线 终端 所 占用 的 资源 。 


[AC]wlan ap ap 
[AC-wlan-ap-ap]client idle-timeout 600 


@ 调整 最 大 接 入 用 户 数 限制 ,默认 最 大 接 入 64 个 ,不 建议 再 调 大 。 调 整 最 大 接 人 用 户 数 
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可 以 在 radio-policy 和 Service-template 模板 下 配置 ,两 者 都 配置 时 取 值 小 的 生效 。 

(8) 通过 硬件 调整 增加 当前 网 络 容量 

如 果 用 户 数 过 多 ,超出 AP 容量 上 限 ,导致 无 法 正常 关联 , 则 需要 进行 硬件 整改 ,通过 增加 
AP 或 者 更 换 双 频 AP 的 方式 解决 关联 用 户 数 资源 紧张 问题 。 

(9) 是 否 存在 备份 AC 

检查 现 网 是 否 设 置 AC 备份 。 

(10) REER AC 的 配置 并 修改 一 致 

MA: display current-con figuration 


例如 : 通过 命令 查看 主 备 AC radio policy、 射 频 口 的 配置 是 否 一 致 。 


[AC_2] display current-configuration 
# 

Wlan radio-policy radiopolicy1 
beacon-interval 160 

# 

wlan ap ap model wa2100 
serial-id 210235 A22WB093002688 
radio 1 

service-template 1 

client idle-timeout 300 
radio-policy radiopolicy1 

radio enable 


# 


命令 : display wlan rrm 
例如 : 通过 命令 查看 rrm 的 配置 , 主 备 一 定 要 保持 一 致 。 


[AC 2]display wlan rrm 


RRM Configuration 


lla Configured Rates (Mbps) 


Mandatory : 6, 12, 24 
Supported : 9, 18, 36, 48, 54 
Multicast : Auto 
Disabled “NA 
11b Configured Rates (Mbps) 
Mandatory EI AA 
Supported + 5.5, 11 
Multicast : Auto 
Disabled : -NA- 
11g Configured Rates ( Mbps) 
Mandatory : 1, 2, 5.5, 11 
Supported : 6, 9, 12, 18, 24, 36, 48, 54 


可 以 通过 文本 比 对 软件 将 主 备 AC 的 配置 进行 比 对 , 主 备 AC 上 关于 AP 的 配置 一 定 要 
改 成 一 致 的 ,否则 会 导致 终端 与 AC 的 兼容 出 现 故障 ,出 现 终端 无 法 关联 的 现象 。 

(11) 检查 WIDS 黑白 名 单 配置 

查看 AC 是 否 配置 了 WIDS 功能 ,如 果 配 置 了 则 需要 注意 如 下 情况 。 
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O 配置 黑 名 单 中 的 用 户 ,不 能 接 入 无 线 网 路 。 
@ 配置 白 名 单 后 , 非 名 单 内 的 用 户 不 能 接 入 无 线 网 络 。 


O 同时 配置 黑白 名 单 后 , 先 检查 白 名 单 ,只 有 白 名 单 内 的 用 户 能 接 入 , 青 检查 黑 名 单 , 黑 
名 单 内 的 用 户 不 能 接 入 。 


W display current-con figuration 


例如 : 通过 命令 查看 是 否 有 黑白 名 单 相关 的 配置 。 


[AC 2] display current-configuration 


static-blacklist mac-address 00aa-00aa-00aa 
whitelist mac-address 00aa-00aa-00aa 


# 


(12) 收集 log.trap 及 debugging 信息 
说 明 : 开启 debug 之 前 ,请 检查 CPU 和 内 存 的 使 用 情况 ,确保 开启 debug 不 会 影响 设备 
的 正常 运行 。 收 集 完 信息 后 请 及 时 关闭 debug。 
O 当 AC 在 线 用 户 数 少 于 或 等 于 100 时 ,建议 用 下 面 的 命令 收集 信息 并 使 用 调试 开关 进 
行 调试 。 
MA: display logbuffer 
debugging wlan mac all 
terminal monitor 


terminal debugging 


© 当 AC 在 线 用户 数 超过 100 时 ,建议 等 业务 闲 时 关联 用 户 数 下 降 到 100 以 下 ,再 执行 
上 述 操作 。 


一 表示 上 一 步 结果 正 高 
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7.4.1 MAC 接 入 认证 故障 排 坦 Sy SIN 


1. 开始 

在 WLAN 网 络 中 , 链 路 接 入 部 分 和 MAC 地 址 认证 看 似 是 一 个 “ 强 关联 "的 绑 定 关系 ,但 
是 实际 上 802. 11 协议 本 身 没有 和 MAC 认证 产生 任何 的 关系 ,所 以 要 充分 认 清 楚 链 路 接 入 和 
MAC 认证 的 关系 。 

故障 定位 的 思路 如 下 。 

首先 ,判断 终端 接 入 、 获 取 地 址 是 否 正常 。 

其 次 ,判断 AC 上 、 服 务 器 上 关于 MAC 认证 的 基本 配置 是 否 正常 。 

再 次 ,判断 AC 与 服务 器 的 连通 性 是 否 正 常 。 

最 后 ,通过 收集 AC 的 debugging 信息 及 服务 器 的 认证 日 志 信 息 , 分 析 问 题 原因 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 终端 接 入 认证 是 否 正常 

通过 命令 判断 测试 终端 能 否 通过 MAC 认证 。 

MS: display wlan client 

例如 : 通过 命令 查看 终端 信息 ,成 功 认 证 的 终端 就 可 以 直接 看 到 User Name 为 用 户 
MAC 地 址 的 终端 。 


[AC]display wlan client 


Total Number of Clients EI 
Client Information 
SSID: MAC 
MAC Address User Name APID/RID IP Address VLAN 
4c8d-7979-7905 4c8d79797905 i 2 192.168.1.9 1 


(2) 排查 DHCP 问题 

Q 在 STA 上 单 击 “ 开 始 ? 按 钮 一 运行 "一 输入 "cmd” 一 按 回 车 键 , 通 过 命令 行 查看 终端 
也 址 获取 情况 。 

命令 : ipconfig /all 

例如 : 通过 命令 查看 ,可 以 确认 本 机 获取 IP 地 址 192. 168. 1. 8。 


D:\>ipconfig /all 
Ethernet adapter 无 线 网 络 连接 : 


Ethernet adapter 无 线 网 络 连接 : 


Connection-specific DNS Suffix . : 


Description. . . . . . : Intel(R) Centrino( R) Ultimate-N 6300 AGN 
Physical Address. a» ssas : 00-24-D7-9C-AF-4C 

Piep Enabled: = a aiak aa aa a Yes 

Autoconfiguration Enabled . . . . : Yes 


IP Address. ........... : 192.168.1.8 
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@ 如 果 终 端 没有 成 功 获取 地 址 ,请 检查 参考 命令 手册 检查 DHCP Server 配置 是 否 符合 
规范 。 

(3) 检查 AC 及 服务 器 配置 

O 检查 AC 配置 。 

第 一 ,明文 及 WEP 加 密 方 式 的 WLAN 接 入 服务 需要 注意 在 ESS 接口 下 选择 正确 模式 。 


interface WLAN-ESS 2 
port-security port-mode mac-authentication 


第 二 , WPA/RSN 方式 的 WLAN 接 入 和 PSK 十 MAC 认证 组 合 。 


interface WLAN-ESS 3 
port-security port-mode mac-and-psk 
@ 检查 服务 器 配置 。 


一 定 要 配置 每 一 个 “MAC 认证 用 户 ” 的 “在 线 数量 限制 ”至少 要 设置 为 大 于 或 者 等 于 2, 如 
图 7-34 所 示 , 对 于 FAT AP 方式 组 网 中 建议 设置 为 "6”。 


& 用 户 > sin 入 入 用 户 


* 用 户 姓名 on12mec3a2c EE 增加 用 户 
+ 账号 名 —] 占 快速 认证 用 户 
U 密码 确认 
回 允 活用 户 修改 灾 码 DOSRAPEBRMNE 下 次 车 录 顷 修改 密码 
ANEM [ mo 
最 大 闲置 时 长 Ë bw PY] 2 
性 录 提 示 信息 


图 7-34 “MAC 认证 用 户 ” 在 线 数量 限制 设置 


说 明 : 如 果 “ 在 线 数量 限制 ”设置 为 1, 可 能 会 带 来 漫游 不 成 功 问题 ,甚至 严重 导致 无 线 连 
接 断 开 以 及 切换 到 别 的 SSID 无 线 服 务 ( 当 存 在 两 个 无 线 网 络 ,而且 都 在 无 线 网 卡 的 自动 连接 
列表 中 ) 。 

(4) 检查 AC 与 服务 器 的 连通 性 

由 于 AC 需要 与 AAA 直接 交互 Radius 协议 报 文 ,并 使 用 指定 的 IP 地 址 通信 , 即 Radius 
NAS-IP。 因 此 ,需要 保证 AC 的 Radius NAS-IP 与 AAA 服务 器 路 由 可 达 。 

O 测试 AC 与 AAA 的 连通 性 ,测试 方法 即 AC 带 源 ping 服务 器 地 址 。 

MS: display radius scheme cmcc 


例如 : 通过 命令 查看 NASIP 地 址 。 


[AC]display radius scheme cmcc 
SchemeName : cmcc 


NAS-IP address : 218.200.72.36 


另外 ,注意 排查 网 络 中 的 防火 墙 等 设备 是 否 可 能 阻 断 Radius 协议 报 文 。 
@ 如 果 测 试 出 现 故障 需要 排查 以 下 问题 。 
第 一 ,检查 nas-ip 配置 是 否 正确 。 
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第 二 ,通过 逐 级 ping 方式 、 抓 包 方式 明确 具体 丢 包 的 位 置 。 

第 三 ,在 检查 二 层 、 三 层 设 置 是 否 符合 规范 ,涉及 具体 协议 可 参考 各 协议 的 故障 排查 指导 。 

(5) 根据 服务 器 日 志 记录 的 错误 提示 排 错 

(Q 协调 Radius 侧 ,查看 认证 失败 日 志 信息 。 

@ 根据 认证 失败 日 志 提 示 进 行 修改 ,例如 : 用 户 名 密码 设置 错误 等 。 

(6) 收集 AC 配置 .日 志 、debugging 信息 及 认证 服务 器 日 志 信息 

说 明 : 开启 debug 之 前 ,请 检查 CPU 和 内 存 的 使 用 情况 ,确保 开启 debug 不 会 影响 设备 
的 正常 运行 。 收 集 完 信息 后 请 及 时 关闭 debug。 

建议 使 用 下 面 的 调试 开关 进行 调试 。 

O debugging wlan mac all (如 果 用 户 多 的 时 候 , 不 要 all 开关 ,可 以 逐条 打开 ,例如 
debugging wlan mac error >event *Ísm—timer), 

@ debugging port-security all: 打开 端口 安全 调试 信息 。 

®© debugging mac-authentication event: 打开 MAC 认证 调试 信息 。 

@ debugging radius packet: 打开 Radius 的 调试 开关 ,该 调试 为 可 选 。 
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07 无 线 产 品 AS 7.4.2 本 地 Portal Server 故障 排查 步骤 详解 


1. 开始 

Portal 认证 凭借 其 简单 方便 、 终 端 广泛 支持 .具备 宣传 效应 等 特点 颇 受 市 场 欢 迎 , 随 着 
Portal 认证 的 普及 应 用 ,客户 对 其 要 求 也 越 来 越 多 ,定制 页 面 的 情况 愈加 普遍 ,由 于 在 AC 上 
定制 页 面 存在 诸多 限制 ,因此 需要 按照 标准 仔细 检查 。 

定位 故障 的 思路 如 下 。 

首先 ,通过 命令 查看 终端 状态 ,判断 接 人 、 获 取 地 址 是 否 正常 。 

其 次 ,判断 终端 到 Portal Server 的 连通 性 及 配置 是 否 正常 ,判断 定制 页 面 是 否 符合 规范 。 

再 次 ,通过 测试 判断 AC 与 Radius 侧 连通 性 及 配置 是 否 正常 。 

最 后 ,收集 debugging 及 配置 信息 分 析 。 

2. 流程 图 相关 操作 说 明 

(1) 终端 能 否 ping 通 Portal Server 

无 线 Portal 认证 属于 三 层 认 证 ,因此 在 认证 成 功 之 前 需要 能 够 访问 Portal Server, 如 果 本 
地 Portal 出 现 故 障 , 则 需要 先 排除 网 络 故障 ,建议 通过 ping 测试 与 Portal Server 的 连通 性 ( 需 
要 关闭 禁 ping 功能 ) 。 

O 查看 IP 地 址 。 

命令 : display portal server 


例如 : 通过 命令 查看 Portal Server 的 IP 地 址 。 


[AC]display portal server 
Portal server: 
0)h3c: 
IP : 192.168.1.3 


© 在 STA 上 单 击 “ 开 始 ? 按 钮 -运行 ”~ 输入 "cmd” 一 ~ 按 回 车 键 。 
命令 : ping 192. 168. 1. 3 
例如 : 通过 ping 操作 检测 与 Portal Server 的 连通 性 。 


D:\>ping 192.168.1.3 


Pinging 192.168.1.3 with 32 bytes of data: 


Reply from 192.168.1.3: bytes=32 time=20ms TTL=255 


(2) 排查 终端 接 人 问题 

D 可 以 在 AC 上 通过 命令 查看 用 户 的 关联 状态 。 

MS: display wlan client mac-address 0024-d79c-a f4c 
例如 : 通过 命令 查看 无 线 用 户 有 无 关联 AC. 

[LAC]display wlan client mac-address 0024-d79c-af4c 


Total Number of Clients qali 
Client Information 


0024-d79c-af4c -NA- ; 192.168.1.8 | 
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O 如 果 终 端 没有 正常 接 人 , 则 需要 排查 无 线 接 人 问题 ,如 图 7-35 所 示 。 


无 摊 同 络 连接 


图 7-35 无 线 接 人 问题 的 排查 
(a) 检测 终端 无 线 是 否 正常 开关 。 
(b) 检测 是 否 在 终端 服务 中 开启 无 线 服务 。 


Cc) 检测 终端 是 否 工作 在 正常 的 无 线 终端 模式 ,如 果 错 误 的 设置 成 AP 模式 则 无 法 作为 
无 线 终端 使 用 。 


(d) 检测 终端 是 否 关联 正确 的 SSID。 
(3) 排查 DHCP 问题 


O E STA 上 单 击 “开始 ?按钮 一 运行 "一 输入 "cmd?” 一 按 回 车 键 , 通 过 命令 行 查看 终端 
地 址 获取 情况 。 


命令 : ipconfig /all 
例如 : 通过 命令 查看 ,可 以 确认 本 机 获取 IP 地 址 192. 168. 1. 8。 


D:\>ipconfig /all 
Ethernet adapter 无 线 网 络 连 接 : 
Ethernet adapter 无 线 网 络 连接 : 
Connection-specific DNS Suffix . : 
Description... . . . . . . . : Intel(R) Centrino(R) Ultimate-N 6300 
AGN 
Physical Address. . . . . . . . . : 00-24-D7-9C-AF-4C 
Eee 
Autoconfiguration Enabled . . . . : Yes 
IP Address. ......... . . : 192.168.1.8 
© 排查 DHCP 问题 。 
请 参考 云图 (IP 业务 一 一 DHCP 排查 模块 》。 


(4) 输入 www 网 址 能 否 弹 出 Portal 页 面 


D 操作 方式 : 终端 打开 浏览 器 ,在 浏览 器 地 址 栏 输入 任意 IP 地 址 (如 www. baidu. com)， 


正常 情况 下 AC 会 对 终端 的 访问 进行 TCP 仿冒 ,将 终端 重 定向 强制 使 其 访问 Portal Server 的 
认证 页 面 。 
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© 终端 成 功 访问 Portal 页 面 需要 具备 的 条 件 如 下 。 
(a) 终端 报 文 能 顺利 送 到 AC。 
(b) 使 用 www 网 址 方式 ,终端 必须 可 以 正常 的 进行 DNS 解析 ,直接 输入 IP 地 址 则 不 需 
要 进行 这 一 步 操作 。 
(c) 终端 具备 触发 AC 的 http 重 定向 的 条 件 , 且 无 线 链 路 必须 已 经 建立 并 能 正常 通信 。 
(d) 终端 和 Portal 服务 器 的 路 由 必须 可 达 。 
(5) 输入 IP 地 址 能 否 弹 出 Portal 页 面 
操作 方式 : 终端 打开 浏览 器 ,在 浏览 器 地 址 栏 输入 任意 IP 地 址 (如 1.1.1.1), 正 常情 况 下 
AC 会 对 终端 的 访问 进行 TCP 仿冒 ,将 终端 重 定向 强制 使 其 访问 Portal Server 的 认证 页 面 。 
(6) 排查 DNS 问题 
O Æ STA 上 单 击 “开始 ?按钮 运行 "~ 输入 "cmd” 一 按 回 车 键 , 通 过 命令 行 查看 终端 
也 址 获取 情况 。 
命令 : ipconfig /all 
例如 : 通过 命令 查看 ,可 以 确认 本 机 获取 的 DNS 地 址 为 192. 168. 1. 3。 
D:\>ipconfig /all 
Ethernet adapter 无 线 网 络 连接 : 


Ethernet adapter 无 线 网 络 连接 : 


© 在 STA 上 单 击 “ 开 始 ” 按 钮 >“ 运行 "一 输入 “cmd” 一 按 回 车 键 ,然后 尝试 ping 上 文 查 
看 到 的 DNS 地 址 。 


命令 : ping 192. 168. 1.3 
例如 : 通过 ping 操作 检测 与 DNS Server 的 连通 性 。 


D:\>ping 192.168.1.3 
Pinging 192.168.1.3 with 32 bytes of data: 


Reply from 192.168.1.3: bytes=32 time=20ms TTL=255 


@ 排查 DNS 问题 。 

(a) 检查 free-rule 的 配置 ,因为 Portal 只 对 IP 进行 重 定 向 ,因此 使 用 www 网 址 方式 访问 
时 ,必须 先 做 DNS 解析 ,所 以 在 认证 之 前 终端 就 必须 保证 与 DNS Server 之 间 是 互通 的 。 
MS: display portal free-rule 


例如 : 通过 命令 可 以 查看 当前 free rule 里 面 有 没有 正确 放 通 DNS Server 地 址 。 


[AC]display portal free-rule 
Rule Number 0: 


Destination: 


IP : 192.168.1.3 
Mask : 255.255.255.255 


(b) 检查 DNS 解析 是 否 正常 ,通过 抓 包 可 以 查看 DNS 有 没有 解析 IP 地 址 。 
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(c) 如 果 无 法 正常 解析 , 则 需要 检查 二 层 、 三 层 设置 是 否 符合 规范 ,涉及 具体 协议 可 参考 
各 协议 的 排 障 指导 。 

(7) 参考 配置 指导 检查 配置 

Portal 的 基本 配置 需要 先 做 核实 。 

MS: display current-con figuration | include portal 

例如 : 主要 查看 Portal Server 的 配置 是 否 正 确 ,包括 绑 定 的 SSID 是 否 正确 ,zip 文件 是 否 
正确 ,接口 下 是 否 开启 Portal 功能 。 


AC> display current-configuration | include portal 
portal server h3c ip 192.168.1.3 server-type imc 
portal free-rule 0 source interface GigabitEthernet1/0/1 destination any 
portal local-server http 
portal local-server bind ssid h3c-portal file http.zip 
portal server h3c method direct 


(8) 弹出 的 页 面 是 否 正 常 

(D 通过 现场 判断 ,弹出 的 页 面 是 否 为 预期 页 面 ,如 果 出 现 异常 请 参考 下 一 步 排 障 指导 。 

© AC 版 本 文件 中 包涵 一 个 内 置 的 Portal 页 面 文件 ,如 果 和 希望 改动 原 有 页 面 则 需要 自己 
定制 , 当 定制 页 面 无 法 弹出 时 会 弹出 内 置 页 面 。 

(9) 检查 配置 及 页 面 是 否 规范 

特殊 配置 检查 。 

命令 : display current-con figuration | include portal 

例如 : 主要 查看 Portal Server 的 配置 是 否 正确 ,包括 绑 定 的 SSID 是 否 正确 ,zip 文件 是 否 
正确 ,接口 下 是 否 开启 Portal 功能 。 


AC> display current-configuration | include portal 
portal server h3c ip 192.168.1.3 server-type imc 
portal free-rule 0 source interface GigabitEthernet1/0/1 destination any 
portal local-server http 
portal local-server bind ssid h3c-portal file http. zip 
portal server h3c method direct 


定制 页 面 检查 。 

由 于 Portal 定制 页 面 需 要 放 在 AC 上 面 .因此 需要 遵循 AC 的 一 些 定制 需求 。 实 际 使 用 
中 经 常 出 现 AC 推送 Portal 页 面 不 成 功 ,文件 正确 但 推出 的 页 面 总 是 版 本 自 带 的 页 面 ,这 里 简 
单 总 结 几 点 配置 AC 推送 Portal 页 面 时 需要 注意 的 问题 。 

O Portal 页 面 文件 压缩 格式 必须 为 zipo 

@ 压缩 后 的 zip 文件 大 小 不 能 超过 500KB。 

© 每 个 单独 页 面 (包括 单个 主 索引 页 面 文件 及 其 页 面 元 素 ) 压 缩 前 的 文件 大 小 不 能 超 
过 50KB。 

@ 尤其 注意 在 修改 页 面 文件 后 ,压缩 文件 时 ,一 定 保证 压缩 的 文件 解压 时 的 目录 只 有 一 
级 ,如 图 7-36 所 示 。 

如 果 压 缩 后 的 文件 解压 时 出 现 多 级 目录 , 则 AC 推送 页 面 会 失败 ,但 实际 上 文件 并 没有 损 
坏 或 更 改 错误 ,如 图 7-37 所 示 。 
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7-36 压缩 文件 解压 时 的 目录 只 有 一 个 


ES -izi - zIP 压缩 文件 ， 解 包 大 小 为 491, 099 字 节 


Ocas. files 2008-4-18 1 
© udso. files - 2008-4-14 0. 
O test. files Š 2008-4-18 1. 
[d Busy. hta H ,049 Marthon Document 2008-4-25 1.. 
[a] LogoffSuccess. htm p " Maxthon Document 2008-4-25 1 
[a] Logon. htm ;, ,500 Maxthon Document 2008-4-25 O 
[a] logonFail. htm i; 3 Maxthon Document 2008-4-25 1. 
[A] LogonSuccess. htm ,240 Maxthon Document 2008-4-25 1... 
[A online. hta i ,095 Marthon Document 2008-4-25 1., 


7-37 压缩 文件 解压 时 出 现 多 级 目录 


建议 压缩 文件 时 ,进入 文件 夹 后 ,全 选 文件 ,然后 压缩 :保证 压缩 后 的 目录 只 有 一 级 ,如 
图 7-38 所 示 。 


O tRNA 
Ü wata 

D Raza 

q toem 
LIT 

BRT 9 个 项 目 。 

总 的 文件 大 小: 187 0 


图 7-38 保证 文件 压缩 后 的 目录 只 有 一 级 
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不 要 直接 选择 文件 夹 进行 压缩 ,如 图 7-39 所 示 。 


7-39 直接 选择 文件 进行 压缩 


O 需要 注意 ,修改 完 文件 后 需要 重新 导 和 人 AC, 并 且 需 要 重新 配置 Portal 认证 。 
© 详细 文档 见 KMS-23677。 
(10) 收集 配置 页面 截 图 及 debugging 信息 
说 明 : 开启 debug 之 前 ,请 检查 CPU 和 内 存 的 使 用 情况 ,确保 开启 debug 不 会 影响 设备 
的 正常 运行 。 收 集 完 信息 后 请 及 时 关闭 debug。 
请 收集 以 下 信息 。 
Me: 
< AC>display current-configuration 
<AC>œ debugging portal all interface Vlan-interface 2 
<AC>œ debugging portal error 
<AC>debugging portal server 
<AC>œ debugging portal tcp-cheat 


<AC> terminal monitor 
<AC> terminal debugging 


说 明 : 以 上 信息 必须 同时 开启 。 

aD 测试 认证 功能 

通过 上 文 排 查 后 可 以 正常 的 弹出 Portal 登录 页 面 , 此 时 需要 输入 用 户 名 、 密 码 测试 ,如 果 
提示 认证 失败 .超时 等 信息 , 则 可 以 判断 为 Radius 相关 问题 。 

(12) 排查 Radius 相关 问题 

由 于 AC 需要 与 AAA 直接 交互 Radius 协议 报 文 ,并 使 用 指定 的 IP 地 址 通信 , 即 Radius 
nas-ip。 因 此 需要 保证 AC 的 Radius nas-ip 与 AAA 服务 器 路 由 可 达 。 

O 测试 AC 与 AAA 的 连通 性 ,测试 方法 即 AC 带 源 ping 服务 器 地 址 。 

命令 : display radius scheme cmcc 


例如 : 通过 命令 查看 nas-ip 地 址 。 


[AC]display radius scheme cmcc 
SchemeName : cmcc 


NAS-IP address : 218.200.72.36 
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另外 ,注意 排查 网 络 中 的 防火 墙 等 设备 是 否 可 能 阻 断 Radius 协议 报 文 。 

@ 如 果 测 试 出 现 故障 需要 排查 以 下 问题 。 

(a) 检查 nas-ip 配置 是 否 正确 。 

(b) 通过 逐 级 ping 方式 、 抓 包 方式 明确 具体 丢 包 的 位 置 。 

(c) 在 检查 二 层 、 三 层 设置 是 否 符合 规范 ,涉及 具体 协议 可 参考 各 协议 的 排 障 指导 。 

© 收集 debugging 信息 。 

说 明 : 开启 debug 之 前 ,请 检查 CPU 和 内 存 的 使 用 情况 ,确保 开启 debug 不 会 影响 设备 
的 正常 运行 。 收 集 完 信息 后 请 及 时 关闭 debug。 

debugging Radius packet: 打开 Radius 的 调试 开关 ,该 调试 为 可 选 。 


7.4.3 无 线 MAC 快速 认证 故障 排查 “对 
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1. 开始 

无 线 MAC 快速 认证 也 叫 智 能 终端 MAC 快速 认证 或 无 感知 认证 。 

无 线 MAC 快速 认证 是 在 普通 的 Portal 认证 架构 新 增 了 一 个 MAC 绑 定 查询 服务 器 。 并 
对 原 Portal 认证 流程 做 了 改动 ,在 重 定向 之 前 增加 了 一 个 MAC 查询 的 步骤 , 即 用 户 流 量 到 达 
AC 后 并 不 立刻 触发 Portal 重 定向 ,而 是 由 AC 先 和 MAC 绑 定 服务 器 完成 MAC 绑 定 查询 ， 
只 有 未 绑 定 MAC 的 用 户 才 触发 Portal 重 定向 ,进行 普通 认证 流程 。 对 于 已 经 绑 定 MAC 的 
用 户 ,AC 不 会 触发 重 定 向 功能 ,而 是 等 待 Portal Server 或 MAC 绑 定 服务 器 (此 时 充当 Portal 
Server) 向 AC 发 起 针对 该 绑 定 用 户 的 Portal 认证 ,此 过 程 中 用 户 并 不 需要 介入 ,因此 也 称 为 
无 感知 认证 。 

所 以 定位 故障 的 思路 是 : 首先 确保 普通 的 Portal 认证 业务 正常 ,再 检查 MAC 绑 定 查询 
的 交互 过 程 。 

2. 流程 图 相关 操作 说 明 

(1) 测试 Portal(Web) 认 证 正常 

MAC 快速 认证 是 以 Web 方式 的 Portal 认证 流程 为 基础 ,所 以 普通 Portal 认证 业务 正常 
是 MAC 快速 认证 的 前 提 。 

测试 方法 : 使 用 未 绑 定 MAC 的 终端 进行 常规 Portal 业务 测试 ; 或 者 在 AC 上 取消 MAC 
快速 认证 功能 ,测试 常规 Portal 业务 。 

(2) 排查 Portal 认证 故障 

如 果 常 规 Portal 业务 存在 故障 , 则 按 云图 一 一 (无 线 Portal 认证 故障 排查 ) 标 准 流 程 图 
处 理 。 

(3) AC 和 MAC Server 通信 正常 

AC 需要 和 MAC Server 完成 对 用 户 MAC 绑 定 的 查询 ,因此 AC H MAC Server 的 路 由 
可 达 也 是 MAC 快速 认证 成 功 的 前 提 之 一 。 

检查 方法 : AC 带 NASIP 源 地 址 ping MAC Server 服务 器 地 址 。 另 外 ,注意 排查 网 络 中 
的 防火 墙 等 设备 是 否 可 能 阻 断 Portal 协议 报 文 。 

关于 Portal NAS-IP: AC 的 Portal NAS-IP 可 以 在 三 层 Interface-VLAN 口 指定 ,如 果 未 
指定 ,默认 以 三 层 Interface-VLAN 口 地 址 作为 NAS-IP。 


<H3C>display current-configuration 
# 
interface Vlan-interface1102 
ip address 211.140.8.129 255.255.255.0 
portal server cmcc-jituan method direct 
portal domain jituan 
portal mac-trigger enable period300 threshold 10240 
portal nas-ip 218.xx.xx.36 
access-user detect type arp retransmit 5 interval 10 


如 果 AC Portal NAS-IP 地 址 到 服务 器 ping 不 通 , 则 需要 排查 路 由 互通 。 
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(4) 检查 MAC 认证 配置 

检查 AC 与 MAC Server 通信 的 IP、 端 口号 配置 ,以 及 流量 触发 门限 配置 。 

说 明 : 在 AC 上 要 将 MAC Server 同时 配置 为 Portal Server, 即 允许 MAC Server 直接 向 
AC 发 起 Portal 认证 。 


<H3C>display current-configuration 
# 
portal mac-trigger server ip 211.xx.xx.57 port 50100 
portalserver mac-seruer-zzz ip 211.xx.xx.57 
# 
interface Vlan-interface1102 
ip address 211.140.8.129 255.255.255.0 
portal server cmcc-jituan method direct 
portal domain jituan 
portal mac-trigger enable period300 threshold 10240 
portal nas-ip 218. xx. xx. 36 
access-user detect type arp retransmit 5 interval 10 


(5) 收集 debug 信息 

收集 Portal 和 Radius 的 调试 信息 ,注意 : 开启 debug 之 前 ,请 检查 CPU 和 内 存 的 使 用 情 
况 ,确保 开启 debug 不 会 影响 设备 的 正常 运行 。 收 集 完 信息 后 请 及 时 关闭 debug。 

命令 : 


<AC> debugging portal packet interface xxx 
<AC> debugging radius packet 


可 以 对 照 MAC 快速 认证 的 原理 流程 来 分 析 debug 信息 ,基本 过 程 简 述 如 下 。 

@ AC 向 MAC Server 发 送 Portal Type: 48(0x30) 的 查询 报 文 。 

@ MAC Server 回应 Portal Type: 49(0x31) 的 应 答 报 文 , ErrCode 为 0 表示 MAC E H 
定 ,ErrCode 为 1 表示 MAC 未 绑 定 。 

@ Portal Server/MAC Server 向 AC 发 起 Portal 认证 ,用 于 认证 的 用 户 名 \ 密 码 为 MAC 
Server 从 AAA 同步 过 来 的 账号 信息 。 

@ AC 向 Radius 服务 器 发 起 AAA 认证 。 

© 认证 通过 后 用 户 能 访问 网 络 。 

详细 debug 信息 的 分 析 如 下 。 

(6) 检查 MAC 查询 交互 


* Apr 27 13:54:57:173 2013 SDJN-WLAN-AC26-HSWX6108-AC1 PORTAL/7/PORTAL_DEBUG: 
Send REQ-MAC-BIND for the 1th time. 
* Apr 27 13:54:57:174 2013 SDJN-WLAN-AC26-HSWX6108-AC1 PORTAL/7/PORTAL_DEBUG: 
Portal send packet length:48 
Portal packet head: 
Type:48 SN:16130 ReqId:0 AttrNum:3 ErrCode:0 UserIP:10.197.58.100 
Portal packet attribute list: 
[ 11 Session-ID J] C 8] [34e0cfd601e8] 
[ 10 BAS-IP JE 6] [1.17.233.65] 
[ 48 Nas-ID J [ 18] [7178053153100460] 
Portal raw packet: 
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01 30 00 00 3f 02 00 00 Oa c5 3a 64 00 00 00 03 


0b 08 34 e0 cf d6 01 e8 0a 06 6f 11 e9 41 30 12 
37 31 37 38 30 35 33 31 35 33 31 30 30 34 36 30 


* Apr 27 13:54:57:327 2013 SDJN-WLAN-AC26-HSWX6108-AC1 PORTAL/7/PORTAL_DEBUG: 


Portal receive packet length:16 
Portal check packet OK 
Portal packet head: 
Type:49 SN:16130 ReqId:0 AttrNum:0 ErrCode:0 UserIP:10.197.58.100 
了 Portal packet attribute list: 
NULL 
Portal raw packet: 
01 31 00 00 3f 02 00 00 Oa c5 3a 64 00 00 00 00 
* Apr 27 13:54:57:328 2013 SDJN-WLAN-AC26-HSWX6108-AC1 PORTAL/7/PORTAL_DEBUG: 


Receive ACK-MAC-BIND, MAC:34E0-CFD6-01E8, IP:0xac53a64, code: 0 


正常 的 debug 情况 如 上 ,如果 服 务 器 回应 Type: 49 号 报 文 , 且 ErrCode 为 0, 说 明 MAC 
查询 成 功 ; 若 ErrCode 为 1, 说 明 MAC 查询 失败 ; 如 果 服 务 器 没有 Type: 49 号 报 文 回应 , 则 
说 明报 文 在 网 络 侧 丢失 或 者 服务 器 未 响应 ,需要 排查 路 由 或 者 服务 器 侧 配置 。 


(7) 检查 Portal 交互 
* Apr 27 13:54:57:370 2013 SDJN-WLAN-AC26-HSWX6108-AC1 PORTAL/7/PORTAL_DEBUG: 


Portal receive packet length:16 
Portal check packet OK 


Portal packet head: 
Type:1 SN:27 Reqld:0 AttrNum:0 ErrCode:0 UserIP:10.197. 58.100 
Portal packet attribute list: 
NULL 
Portal raw packet: 
01 01 00 00 00 1b 00 00 Oa c5 3a 64 00 00 00 00 


* Apr 27 13:54:57:370 2013 SDJN-WLAN-AC26-HSWX6108-AC1 PORTAL/7/PORTAL_DEBUG: 


Portal send packet length:34 
Portal packet head: 
Type:2 SN:27 
Portal packet attribute list: 
[ 3 Challenge J] [ 18] [a786bd4f07f6e3725ec7880e094c716e] 


Portal raw packet: 
01 02 00 00 00 1b 92 3e 0a c5 3a 64 00 00 00 01 


03 12 a7 86 bd 4f 07 f6 e3 72 5e c7 88 Oe 09 4c 
71 6e 
* Apr 27 13:54:57:372 2013 SDJN-WLAN-AC26-HSWX6108-AC1 PORTAL/7/PORTAL_DEBUG: 


Reqld:37438 AttrNum:1 ErrCode:0 UserIP:10.197.58.100 


Portal receive packet length :64 
了 Portal check packet OK 
Portal packet head: 
Type:3 SN:27 Reqld:37438 AttrNum:2 ErrCode:0 UserIP:10.197.58.100 
Portal packet attribute list: 
[ 1 UserName J] [ 30] [15194159123@ wlan-moni-jituan ] 
[ 4 ChapPassWord J] [ 18] [b28071c504a0ad64ffc533a69a8887ba] 


Portal raw packet: 
01 03 00 00 00 1b 92 3e 0a c5 3a 64 00 00 00 02 
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01 1e 31 35 31 39 34 31 35 39 31 32 33 40 77 6c 
61 6e 2d 6d 6f 6e 69 2d 6a 69 74 75 61 6e 04 12 
b2 80 71 c5 04 a0 ad 64 ff c5 33 a6 9a 88 87 ba 


MAC 查询 成 功 后 ,表示 用 户 已 绑 定 MAC, 则 AC 会 等 待 Portal Server/MAC Server 向 设 
备 发 起 Portal 认证 。 其 中 共有 3 个 报 文 交互 ,Portal Type: 1(REQ_CHALLENGE) Type: 2 
(ACK_CHALLENGE) Type: 3(REQ_AUTH), 

这 之 后 就 是 等 待 AC 完成 AAA 交互 。 

(8) 检查 AAA 交互 


* Apr 27 13:54:57:380 2013 SDJN-WLAN-AC26-HSWX6108-AC1 RDS/7/DEBUG: Send: IP = 
[211.137.185.105], UserIndex= [3108], ID= [175], RetryTimes= [0], Code= [1] , Length= [260] 


* Apr 27 13:54:57:396 2013 SDJN-WLAN-AC26-HSWX6108-AC1 RDS/7/DEBUG: Receive: IP = 
[211.137.185.105], Code= [2] , Length= [106] 


此 过 程 为 标准 的 Radius 认证 流程 ,Code 二 [1] 为 认证 请 求 报 文 ,Code 二 [2] 为 认证 成 功 
响应 。 

如 果 此 过 程 交 互 成 功 , 即 代 表 MAC 认证 最 终 完 成 ,用 户 可 以 访问 网 络 。 如 果 收 到 的 服务 
器 回应 报 文 不 是 Code 二 [2], 而 是 Code 二 [3] 认 证 拒绝 报 文 , 则 代表 AAA 拒绝 用 户 登 录 , 报 文 
详细 解析 中 一 般 会 携带 拒绝 的 原因 。 
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1. 开始 

本 流程 图 针对 如 下 组 网 架构 : AC 或 IAG( 本 文 以 AC 统一 称谓 ) 作 为 Portal 认证 点 ,配合 
远程 Portal Server 做 无 线 Portal 认证 。 

无 线 Portal 认证 流程 简 述 : 首先 ,终端 和 Portal Server 通过 http 协议 建立 连接 ,通过 
Web 交互 方式 上 传 用 户 名 、 密 码 ; 其 次 ,Portal Server 通过 Portal 协议 向 AC 发 起 认证 ; 最 
Ji AC 通过 Radius 协议 向 AAA 服务 器 验证 用 户 身份 。 认 证 成 功 后 AC 对 终端 准予 放行 。 

所 以 定位 故障 的 思路 是 : 首先 确保 终端 和 Portal 服务 器 的 Web 通信 正常 ,其 次 检查 
Portal 和 AAA 交互 的 过 程 。 

2. 流程 图 相关 操作 说 明 

(1) 终端 关联 AC、 获 取 IP 

无 线 Portal 认证 是 根据 用 户 IP 地 址 来 标识 用 户 的 ,所 以 Portal 认证 前 用 户 必须 已 经 关 
联 AC 并 获取 到 有 效 的 IP 地 址 。 

可 以 在 AC 上 通过 命令 查看 用 户 的 关联 状态 。 
命令 : display wlan client 

例如 : 通过 命令 查看 无 线 用 户 有 无 关联 AC。 
< AC>4isplay wlan client 


Total Number of Clients :2 
Client Information 


SSID: wlan-telnet 


MACAddress User Name APID/RID IP Address VLAN 
2477-038f-8e68 -NA- 2 /1 192.168.3.6 999 
2477-0391-2060 -NA- 2 /1 192.168.3.3 999 


(2) 排查 AP 注册 问题 

D 确保 终端 接收 的 信号 在 一 75dBm 以 上 ,保证 正常 关联 。 
例如 : Windows 7 客户 端 显示 的 无 线 信号 强度 在 3 格 以 上 ,如 
图 7-40 所 示 。 

@ 确保 终端 通过 DHCP 获取 正确 的 IP 地 址 。 为 了 排查 
DHCP 的 故障 点 ,可 以 在 AC 上 起 三 层 用 户 VLAN 接口 ,配置 
动态 获取 IP 地 址 ,观察 AC 能 否 获 取 正 确 IP 地 址 。 如 果 AC HP_BASEL 
都 无 法 获取 IP 地 址 ,需要 排查 有 线 侧 DHCP Server 的 配置 和 PP pe A 
二 层 VLAN 互通 性 。 

命令 : ipaddress dhcp-alloc ws 

例如 : 在 业务 VLAN 999 上 配置 动态 获取 IP 地 址 。 


i 图 7-40 Windows 7 客户 端 无 线 
信号 强度 显示 
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命令 : display ip interface brief 


<AC> display ip interface brief 

* down: administratively down 

(s): spoofing 

Interface Physical Protocol IP Address Description 
M-GE1/0/0 down down unassigned M-Gigabit... 
Vlan99 up up 117.21.55.244 mananger_... 
Vlan999 up up 192.168.3.6 Vlan-inte... 


(3) AC 重 定向 正常 

Portal 的 业务 模式 是 用 户 在 认证 前 访问 的 任何 页 面 都 会 被 AC 重 定 向 到 Portal 认证 主 
页 ,AC 重 定向 成 功 的 直观 表现 是 浏览 器 上 能 看 到 地 址 栏 自动 跳 转 为 Portal 认证 URL, 

例如 : 终端 浏览 器 地 址 栏 自动 跳 转 到 Portal 认证 URL, 如 图 7-41 所 示 。 
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7-41 终端 浏览 器 地 址 栏 


原理 解析 : 用 户 在 通过 Portal 认证 前 ,向 任意 地 址 发 出 http 请 求 。AC 会 阻 断 并 仿冒 该 
地 址 和 终端 建立 http 连接 。AC 再 通过 http 重 定向 功能 ,将 终端 的 访问 请 求 重 定向 至 Portal 
Server 的 认证 主页 。 之 后 终端 浏览 器 地 址 栏 开始 跳 转 并 Load 认证 页 面 。 

AC 重 定向 功能 是 否 生效 可 以 通过 在 终端 PC 上 抓 包 确 定 。 

例如 : PC 上 通过 Wireshark 抓 包 信息 观察 AC 重 定向 ,有 “HTTP/1. 1 302 Moved 
Temporarily” 报 文 , 如 图 7-42 所 示 。 


ly (text/html) 


Cache-control: no-cache\r\n 

Connection: close\r\n 

Content-Type: text/html\r\n 

Location: http://221.176.1.140:8080/wlan/index. php?wlanacname=1029. 0791.791. 008&wlanuser ip=183. 218. 254. 3&ssid=CMCC& 


图 7-42 Wireshark 抓 包 信息 
(4) 检查 Portal 基础 配置 .DNS 配置 
检查 AC 全 局 Portal 配置 ,在 接口 下 使 能 Portal 服务 ,并 添加 DNS free-rule 放 通 规则 。 


命令 : display current-con figuration 


<=H3C> display current-configuration 
# 
portal server cmcc ip 10.202.164.10 url http: //10.202.164.10:8080/portal/ server-type cmcc 
portal free-rule 1 source any destination ip 211.137.58.20 mask 255.255.255.255 
# 
interface Vlan-interface1102 
description GateWay_of_CMCC 
ip address 192.168.3.254 255.255.224.0 
portal server cmcc method direct 
portal nas-id 3999071627000460 
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portal nas-port-type wireless 
portalnas-ip 218. xx. xx. 36 
access-user detect type arp retransmit 5 interval 10 


# 


原理 解析 : AC 完成 重 定向 需要 具备 的 条 件 如 下 。 

O 浏览 器 访问 的 域名 必须 先 能 被 DNS 成 功 解析 。 

© AC 在 用 户 三 层 VLAN 接口 上 使 能 Portal 功能 。 

常见 错误 : 终端 在 浏览 器 上 使 用 域名 方式 无 法 被 重 定向 至 Portal 页 面 ,但 使 用 IP 地 址 可 
。 原 因 : DNS 无 法 解析 ,DHCP Server 未 配置 DNS 或 者 DNS 服务 器 不 可 用 (如 未 被 portal 


free-rule 放 通 ) 。 

(5) Portal 页 面 推送 正常 

终端 浏览 器 能 成 功 Load 完整 的 Portal 主页 。 

(6) 排查 终端 到 Portal Server 路 由 

如 果 Portal 页 面 无 法 打开 ,或 者 打开 不 完整 ,可 能 的 原因 为 : AC 到 Server 路 由 不 可 达 、 
丢 包 ,或 者 Portal 服务 器 配置 错误 。 

Q) 排查 终端 到 Portal Server 的 路 由 ,可 以 通过 终端 ping Portal 服务 器 来 测试 ,如 图 7-43 
所 示 。 

命令 : ping 1 1500 zs se 


E ERA: CWindows\system32\cmd.exel 


图 7-43 终端 到 Portal Server 的 路 由 排查 


@ 当 终 端 到 服务 器 能 ping 通 , 但 丢 包 超过 3% 时 ,还 需要 同时 排查 无 线 链 路 质量 问题 。 
无 线 丢 包 问 题 排 查 参 考 云图 (无 线 空 口 丢 包 问 题 处 理 ) 标 准 流 程 图 处 理 。 

(7) 手动 测试 Portal 页 面 、 检 查 服务 器 配置 

在 确定 终端 到 Portal Server 路 由 已 经 可 达 的 前 提 下 ,如 终端 仍 无 法 打开 Portal 页 面 。 则 
可 能 是 服务 器 故障 ,或 者 终端 浏览 器 故障 。 

建议 更 换 一 台 测 试 电脑 ,手工 输入 Portal Server 的 URL, 如 仍 无 法 打开 页 面 , 则 基本 确定 
是 Portal Server 故障 。 需 要 排查 Portal Server 配置 ,如 图 7-44 所 示 。 

(8) AC 与 Portal Server 通信 正常 

AC 需要 与 Portal Server 直接 交互 Portal 协议 报 文 ,并 使 用 指定 的 IP 地 址 通信 , 即 
Portal nas-ip。 因 此 需要 保证 AC 的 Portal nas-ip 与 Portal 服务 器 路 由 可 达 。 

检查 方法 : ACH nas-ip 源 地 址 ping 服务 器 。 另 外 ,注意 排查 网 络 中 的 防火 墙 等 设备 是 


否 可 能 阻 断 Portal 协议 报 文 。 
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Te au SS 


Me 2 


k mF | 次 ,ac 产品 技术 - 产品 技术 - H3C E 建议 网 站 w P) SEHE E) H3C SSL VPN P) 获取 更 多 附加 模块 了 
| É Internet Explorer 无 二 未 该 网 页 O 


@ Internet Explorer 无 法 显示 该 网 页 


您 可 以 尝试 以 下 操作 : 
诊断 连接 问题 


@ 更 多 信息 


7-44 无 法 打开 Portal 页 面 


关于 Portal nas-ip: AC 的 Portal nas-ip 可 以 在 三 层 interface-vlan 口 指定 ,如 果 未 指定 ， 
默认 以 三 层 interface-vlan 口 接口 地 址 作为 nas-ip。 


<H3C>display current-configuration 

# 
interface Vlan-interface1102 

description GateWay_of CMCC 

ip address192.168.3.254 255.255.224.0 

portal server cmcc method direct 

portal nas-id 3999071627000460 

portal nas-port-type wireless 

portalnas-ip 218.xx.xx.36 

access-user detect type arp retransmit 5 interval 10 


# 


说 明 : 在 中 国 移动 的 WLAN Portal 认证 过 程 中 ,AC 的 nas-ip 是 与 局 数据 “AC_NAME” 


一 一 对 应 的 。AC 上 除了 nas-ip, 还 需要 配置 正确 的 “AC_NAME” 参 数 。 该 参数 需要 向 集团 中 
请 , 称 为 “局 数据 ”。 


命令 : portal deoice-id 0062. xx. xx. 00 


< H3C>4isplay current-configuration 

# 

portal server cmcc ip 221.x.x.140 url http: //221.x.x.140:8080/index. php server-type cmcc 
portal free-rule 1 source any destination ip 211.137.58.20 mask 255.255.255.255 

portal device-id 0062. xx.xx.00 

# 


(9) 认证 域 匹配 正确 
AC 需要 选择 认证 策略 , 即 针对 用 户 匹 配 认证 域 Domain。 设 备 上 有 多 个 地 方 可 能 配置 认 
证 域 信息 ,各 种 匹配 有 先后 顺序 之 别 。 
优先 级 顺序 如 下 (由 高 到 低 ) 。 
D 全 局 根据 SSID 和 AP 热点 指定 使 用 的 Portal 认证 域 。 


命令 : portal wlan ssid xxxs server yyyy domain zzz 
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< H3C>-4isplay current-configuration 


# 
portal wlan ssid CMCC server cmcc-portal domain cmcc-wlan 


@ 三 层 接口 下 强制 Portal 认证 域 。 


命令 : portal domain zzzz 


< H3C>4isplay current-configuration 
# 

interface Vlan-interface1102 

portal domain cmcce-wlan 


@ 用 户 名 携带 的 “@ 后 级 名 ”匹配 域 。 
@ 全 局 domain default。 


命令 : domain default zzzz 


<H3C>display current-configuration 
# 


domain default cmce-wlan 


说 明 : ROO 、@@ 按 优先 级 顺序 匹配 过 程 中 出 现 指定 的 域 在 AC 全 局 并 没有 定义 , 则 
走 全 局 domain if-unknown 配置 ; 如 果 domain if-unknown 没有 配置 则 认证 失败 。 


命令 : domain if-unknown zzzz 


<H3C>display current-configuration 
# 


domain if-unknown cmcc-wlan 


(10) AC 与 AAA 通信 正常 

AC 需要 与 AAA 直接 交互 Radius 协议 报 文 ,并 使 用 指定 的 IP 地 址 通信 , 即 Radius nas- 
ip。 因 此 需要 保证 AC 的 Radius nas-ip 与 AAA 服务 器 路 由 可 达 。 

检查 方法 : AC 带 NAS-IP 源 地 址 ping 服务 器 。 另 外 ,注意 排查 网 络 中 的 防火 墙 等 设备 
是 否 可 能 阻 断 Radius 协议 报 文 。 

关于 Radius nas-ip: AC 可 以 在 Radius 策略 中 指定 Radius NAS-IP。 


fü“; nasip z. x£. x.x 


<H3C>display current-configuration 
# 
radius scheme cmcc 
server-type extended 
primary authentication 221.176.1.138 1645 
primary accounting 221.176.1.138 1646 
key authentication cipher abQuGU4cQTpZL8rzyG52eg 一 一 
key accounting cipher abQuGU4cQTpZL8rzyG52eg 一 一 
user-name-format keep-original 
nas-ip 218.xx.xx.36 
retry stop-accounting 10 


# 


如 果 AC Radius NAS-IP 地 址 到 服务 器 ping 不 通 , 则 需要 排查 路 由 互通 。 


区 2 一 > 无 线 产品 873 


(11) 检查 key、 端 口号 配置 
检查 AC 与 Portal. AAA 通信 的 key、 端 口号 配置 。 服 务 器 侧 的 配置 也 需要 同步 检查 。 


< H3C>-4display current-configuration 
# 
portal serverimc ip 10.0.0.1 key h3c url http: //10.0.0.1/portal 
# 
radius scheme cmcc 
server-type extended 
primary authentication 221.176.1.138 1645 
primary accounting 221.176.1.138 1646 
key authentication cipher abQuGU4cQTpZL8rzyG52eg== 
key accounting cipher abQuGU4cQTpZL8rzyG52eg== 
user-name-format keep-original 
nas-ip 218. xx. xx. 36 
retry stop-accounting 10 


# 


当 Radius key 配置 错误 时 ,设备 上 debug 信息 也 能 看 出 来 。 
命令 : debugging radius pachet 


< H3C> debugging radius packet 


* Feb 28 04:39 :20:835 2013 JXSHR-MC-WLAN-AC-H3C-IAG01 RDS/7/DEBUG: Event: Received 
the detect response from auth-server(IP:211.141.86.107). 

* Feb 28 04:39:20:836 2013 JXSHR-MC-WLAN-AC-H3C-IAG01 RDS/7/DEBUG: 

Error: The vector of normal-res-packet is invalid(AAAID = 5430, Req-ID = 0). 


(12) 收集 debug 信息 .详细 配置 信息 
如 果 上 述 步骤 仍 无 法 最 终 解 决 问题 ,可 以 抓 取 设备 侧 详细 的 debug 信息 辅助 定位 。 注 意 : 
开启 debug 之 前 ,请 检查 CPU 和 内 存 的 使 用 情况 ,确保 开启 debug 不 会 影响 设备 的 正常 运 
行 。 收 集 完 信息 后 请 及 时 关闭 debug。 
命令 : 
<AC> debugging portal packet interface xxx 
<AC> debugging portal tcp-cheat 


<AC> debugging portal acl interface xxx 
<AC> debugging radius packet 


具体 debug 分 析 参 考 如 下 。 
第 1 步 ,http 重 定向 。 


* Apr 18 15:01:41:701 2014 AC TCPCHEAT/7/TCPCHEAT_DEBUG: State of connection with| 
source IP 192.168.10.2 is ESTABLISHED! //tcp 欺骗 ,http 重 定向 


第 2 步 ,Portal 交互 。 


* Apr 27 13:54:57:370 2013 SDJN-WLAN-AC26-HSWX6108-AC1 PORTAL/7/PORTAL_DEBUG: 
Portal receive packet length:16 

Portal check packet OK 
Portal packet head: 
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Type:1 SN:27 Reqld:0 AttrNum:0 ErrCode:0 UserIP:10.197.58.100 


Portal packet attribute list: 
NULL 


Portal raw packet: 
01 01 00 00 00 1b 00 00 0a c5 3a 64 00 00 00 00 //Portal REQ_CHALLENGE 


* Apr 27 13:54:57:370 2013 SDJN-WLAN-AC26-HSWX6108-AC1 PORTAL/7/PORTAL_DEBUG: 


Portal send packet length:34 


Portal packet head: 
Type:2 SN:27 Reqld:37438 AttrNum:1 ErrCode:0 UserIP:10.197.58.100 


Portal packet attribute list: 
[ 3 Challenge J] [ 18] [a786bd4f07f6e3725ec7880e094c716e] 


Portal raw packet: 
01 02 00 00 00 1b 92 3e 0a c5 3a 64 00 00 00 01 
03 12 a7 86 bd 4f 07 f6 e3 72 5e c7 88 0e 09 4c 


71 6e //Portal ACK_CHALLENGE 


* Apr 27 13:54:57:372 2013 SDJN-WLAN-AC26-HSWX6108-AC1 PORTAL/7/PORTAL_DEBUG: 


Portal receive packet length: 64 
Portal check packet OK 
Portal packet head: 
Type:3 SN:27 Reqld:37438 AttrNum:2 ErrCode:0 UserIP:10.197.58.100 
Portal packet attribute list: 
[ 1 UserName 
[ 4 ChapPassWord 
Portal raw packet: 
01 03 00 00 00 1b 92 3e 0a c5 3a 64 00 00 00 02 
01 1e 31 35 31 39 34 31 35 39 31 32 33 40 77 6c //Portal REQ_AUTH 
61 6e 2d 6d 6f 6e 69 2d 6a 69 74 75 61 6e 04 12 
b2 80 71 c5 04 a0 ad 64 ff c5 33 a6 9a 88 87 ba 


J [ 30] [15194159123@ wlan-moni-jituan] 
J [ 18] [b28071c504a0ad64ffc533a69a8887ba] 


第 3 步 ,Radius 交互 。 


* Apr 27 13:54:57:380 2013 SDJN-WLAN-AC26-HSWX6108-AC1 RDS/7/DEBUG: Send: IP = 
[211.137.185.105], UserIndex= [3108], ID= [175], RetryTimes= [0], Code= [1], Length= [260] 
//Radius 认证 请 求 


* Apr 27 13:54:57:396 2013 SDJN-WLAN-AC26-HSWX6108-AC1 RDS/7/DEBUG: Receive: IP = 
[211.137.185.105], Code= [2] , Length= [106] //Radius 认证 成 功 响 应 


详细 解码 中 一 般 会 携带 服务 器 拒绝 的 原因 。 


如 果 第 3 步 中 收 到 服务 器 Radius Code 二 [3] 响 应 报 文 , 则 代表 AAA 拒绝 用 户 登 录 , 报 文 


* Jul5 11:18:42:276 2012 SDQDA-WLAN-AC51-HSWX6103-AC RDS/7/DEBUG: Receive: IP = 


[221.176.1.138] ,Code= [3] , Length= [149] 

*Jul 5 11:18:42:276 2012 SDQDA-WLAN-AC51-HSWX6103-AC RDS/7/DEBUG: 
[18 Reply-Message] [129] [18; User (host/ABE-YB. nt-amphenoll. local) Checking LoginUser 
RBillServer, return Illegal Account, Request Deny by chinamobile. com] 


//Radius 认证 拒绝 消息 


Passa WA 而 


一 一 人 +A++- Wé E z$ 


-===> ATE- kit pj id 


> 
移动 WA 让 单 故障 排查 


Portalit 是 
+É pE 


是 否 IAerAc 组 网 


f Š 1 pc ras 配置 
AL yh 8 J 
不 同步 问题 


400-910-0504 Z+ FT: 3 # fr 
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07 无 线 产品 > 7.4.5 移动 WLAN 话 单 故障 排查 步骤 详解 


本 流程 图 针对 问题 : 移动 Portal、 无 感知 业务 中 AAA 认证 、 计 费 正 常 ,但 无 法 在 移动 
BOSS 系统 生成 业务 话 单 ,或 者 生成 错误 的 业务 话 单 。 话 单 错 误 问 题 的 第 一 暴露 点 不 是 终端 
和 设备 侧 ,而 是 集团 BOSS 的 话 单 报表 。 

所 以 排查 问题 的 思路 是 : 首先 查看 错 单 详细 报表 ,确定 问题 发 生 的 范围 ,排除 集团 服务 器 
侧 问题 ( 面 的 问题 ); 再 排查 AC( 点 的 问题 ) 。 

2. 流程 图 相关 操作 说 明 

(1) 是 否 局 部 范围 话 单 错误 

分 析 省 公司 提供 的 话 单 统计 报表 ,确定 问题 发 生 的 范围 和 频次 : 错 单 局 限于 一 台 AC 还 
是 多 台 AC; 是 概率 性 发 生 , 还 是 必 现 问题 ; 以 及 友 商 AC 情况 如 何 。 

(2) 向 省 公司 了 解 集团 AAA 服务 器 近期 状态 

可 以 向 集团 了 解 AAA 服务 器 侧 有 无 升级 操作 、 临 时 故障 等 。 

(3) 查看 错误 代码 

话 单 统计 报表 会 列 出 错误 代码 ,并 简 述 BOSS 认为 话 单 错误 的 原因 。 

典型 的 报表 信息 截取 如 表 7-8 所 示 。 


表 7-8 典型 的 报表 信息 截取 


ac_address duration | prov_code | std_err_code original_file remarks 


E111:The 
WLAN _ RADIUS _ 
120. 192. 135.78 | 28815 531 F111 Stop_time20130326182455 is less 


20130326. 010 ! 

than start_time;20130326102440 
WLAN _ RADIUS _|E150: Hotspot_ ID foramt error; 
20120728. 006 0951. 0431. 431. 00 


211. 141. 11. 209 14 431 F150 


目前 遇 到 的 两 种 主要 错误 代码 。 

F111: 计 费 时 长 错误 。 计 费时 长 超过 最 长 预期 8Sh, 即 28800s。 

F150: NAS-ID 格式 错误 。NAS-ID 错误 填充 为 AC sysname 或 者 其 他 不 符合 规范 的 
格式 。 

其 他 错误 代码 后 续 会 进一步 扩充 。 

(4) 收集 错 单 明 细 、 抓 取 Radius debug 信息 

O 对 于 F111 错 单 类 型 ,原因 为 计 费 时 长 超 限 ,大 于 8h。 需 要 先 观察 该 条 错 单 计 费 时 长 
到 底 为 多 少 。 比 如 表 7-8 中 错 单 计 费时 长 为 28815s, 超 过 AAA 授权 时 长 28800 {X 15s 时 间 ， 
这 个 时 间 很 可 能 来 自 网 络 传输 时 延 、 服 务 器 处 理 时 延 等 。 这 种 类 型 的 F111 错误 问题 需要 协 
调 服务 器 侧 进行 优化 处 理 ,设备 侧 无 法 解决 。AAA 的 授权 时 长 可 以 通过 设备 侧 的 debug 
Radius 信息 予以 确证 。 

命令 : debugging radius packet 

例如 : 通过 搜索 “code 二 [2]”Radius 认证 成 功 报 文 .可 以 看 到 授权 上 线 时 长 。 
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< H3C> debugging radius packet 

*Jul 5 11:04:52:490 2012 SDQDA-WLAN-AC51-HSWX6103-AC RDS/7/DEBUG: Receive: IP = 
[221.176.1.138], Code= [2] , Length= [318] 

*Jul 5 11:04:52:490 2012 SDQDA-WLAN-AC51-HSWX6103-AC RDS/7/DEBUG: 
[79 EAP-Message J] [6 ] [03030004] 

[MS-16 MS-MPPE-Send-Key J [52] [8852758F6B59502D675692...] 

[MS-17 MS-MPPE-Recv-Key J [52] [88533C64917C88A67699E7...] 

[6 Service Type J] [6] 2] 

[7 Framed-Protocol J [6] [Cy 

[1 User-name J [13] [13953110669] 

*Jul 5 11:04:52:490 2012 SDQDA-WLAN-AC51-HSWX6103-AC RDS/7/DEBUG: 
[27 Session-TimeOut ] [6 ] [28800] 

[18 Reply-Message J [117] [0;User(362915C0F9D4C92...)] 

[80 Message-Autheticator ] [18] [8C702E984CC8D98340F6B0B227 A5FEC5] 


@ 对 于 其 他 错 单 请 收集 “original file"。 这 个 文件 可 以 直接 通过 省 公司 向 集团 服务 器 侧 
索取 ,对 应 的 具体 文件 名 可 以 从 话 单 统 计 报表 中 查找 得 到 ,如 表 7-9 所 示 。 


表 7-9 original file 错 单 


ac_address duration | prov_code | std_err_code original_file remarks 
E111: The 
WLAN_ RADIUS _ š : 
120.192.135.78 | 28815 531 F111 Stop_time20130326182455 is less 
20130326.010 
than start_time:20130326102440 
WLAN _ RADIUS _|E150: Hotspot_ID foramt error: 
211. 141. 11. 209 14 431 F150 
20120728. 006 0951. 0431. 431. 00 


(5) Portal 还 是 无 感知 错 单 

确定 错 单 类 型 是 Portal 业务 错 单 ,还 是 无 感知 业务 错 单 。 

确定 错 单 的 业务 类 型 能 有 效 地 帮助 定位 ,业务 类 型 可 以 通过 观察 错 单 统计 报表 中 的 “ac_ 
address” 项 ,如 果 是 我 司 IAG 地 址 , 则 一 般 为 Portal 业务 ; 如 果 是 AC 的 地 址 , 且 该 局 点 位 
IAG+ AC 组 网 , 则 为 无 感知 业务 。 

(6) 是 否 IAG 十 AC 组 网 

确定 客户 现 网 组 网 模型 ,是 纯 AC 组 网 ,还 是 IAG 十 AC 组 网 。 

目前 H3C 无 线 设备 的 Portal 认证 组 网 有 两 种 : 第 一 种 是 AC 配合 IAG 组 网 ,由 IAG 作 
为 Portal 认证 点 完成 Portal 认证 ; 第 二 种 是 纯 AC 组 网 , 即 AC 自身 作为 Portal 认证 点 完成 
Portal 认证 。 

两 种 组 网 下 ,无 感知 认证 (802. 1x) 业 务 的 承载 设备 都 是 AC。 

(7) 检查 主 备 AC NAS-ID 配置 有 无 错误 \ 漏 失 , 不 同步 问题 

AC 上 能 配置 NAS-ID 的 位 置 非常 多 ,如 果 重 复 配 置 ,生效 规则 有 先后 顺序 。 

(D 对 于 Portal 业务 。NAS-ID 生效 的 先后 顺序 为 : AC 射频 视图 下 配置 的 NAS-ID 一 三 
层 接口 下 指定 的 NAS-ID Profile 习 三 层 接口 下 配置 的 Portal NAS-ID 习 全 局 配置 的 Portal 
NAS-ID—Sysname, 

说 明 :“AC 射频 视图 下 配置 的 NAS-ID”“ 三 层 接口 下 配置 的 Portal NAS-ID”“ 全 局 配置 
的 Portal NAS-ID? 为 必 配 项 。 
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同时 ,保证 主 ` 备 AC 的 NAS-ID 配置 同步 。 
AC 射频 视图 下 配置 NAS-ID。 


<H3C> display current-configuration 
# 
wlan ap jzq_bl model WA2612-AGN id 107 
ap-name 电器 _VLAN167_107 
priority level 7 
serial-id 210235 A0ALC11B000496 
backup-ac ip 192.168.56.2 
radio 1 
Service-template Inas-id 3731071627000460 
service-template 2nas-id 3731071627000460 
radio enable 


# 


三 层 接口 下 配置 的 Portal NAS-ID。 


<H3C> display current-configuration 
# 
interface Vlan-interface1802 

description GateWay_of_CMCC-EDU 
ip address 10.104.96.2 255.255.224.0 
vrrp vrid 3 virtual-ip 10.104.96.1 

vrrp vrid 3 priority 110 

vrrp vrid 3 track 1 reduced 20 

portal server cmcc-edu method direct 
portal nas-id 3731071627000460 

portal nas-port-type wireless 

portal backup-group 2 

portal nas-ip 218.200.72.36 
access-user detect type arp retransmit 5 interval 10 


# 


全 局 配置 的 Portal NAS-ID。 


< H3C> display current-configuration 
# 

portalnas-id 3731071627000460 

# 


© 对 于 无 感知 业务 。NAS-ID 生效 的 先后 顺序 为 : AC 射频 视图 下 配置 的 NAS-ID 一 
ESS 接口 下 配置 的 端口 安全 NAS -ID Profile 一 全 局 配置 的 端口 安全 NAS -ID Profile > 
Sysname。 

说 明 :“AC 射频 视图 下 配置 的 NAS-ID” 为 首选 方式 ,其 他 方式 在 特定 场景 下 使 用 ,不 做 
强制 配置 要 求 。 

同时 ,保证 主 ` 备 AC 的 NAS-ID 配置 同步 。 


< H3C> display current-configuration 

# 

wlan ap jzq_bl model WA2612-AGN id 107 
ap-name 电器 _VLAN167_107 
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priority level 7 

serial-id 210235 A0ALC11B000496 

backup-ac ip 192.168.56.2 

radio 1 
service-template 1nas-id 3731071627000460 
service-template 2nas-id 3731071627000460 
radio enable 


# 


(8) 检查 AC IAG 漫游 组 状态 
查看 AC 和 IAG 的 漫游 组 状态 是 否 生效 。 
MA: display wlan mobility-group 


例如 : 通过 命令 查看 ,AC 是 否 已 经 跟 IAG 建立 漫游 隧道 。 


<AC>display wlan mobility-group 
Mobility Group Information 


Group Name El 
Source IP Address : 218.204.128.155 
Authentication Method : -NA- 


(9) 检查 主 备 AC 以 及 IAG NAS-ID 配置 有 无 错误 、 漏 失 ,不 同步 

对 于 IAG 十 AC 组 网 ,在 漫游 组 成 功 建立 的 前 提 下 ,Portal NAS-ID 优先 以 AC 射频 视图 
下 的 配置 生效 。 具 体 为 如 下 。 

AC 射频 视图 下 配置 的 NAS-ID>IAG 三 层 接口 下 指定 的 NAS-ID Profile>IAG 三 层 接 
口 下 配置 的 Portal NAS-ID>IAG 全 局 配置 的 Portal NAS-ID 习 系统 sysname, 

说 明 :“AC 射频 视图 下 配置 的 NAS-ID”、“IAG 全 局 配置 的 Portal NAS-ID” 为 必 配 项 ,后 
一 个 配置 起 保险 作用 。 

同时 ,保证 主 备 AC, E% IAG 的 NAS-ID 配置 同步 。 

AC 射频 视图 下 配置 NAS-ID。 


<AC> display current-configuration 
# 
wlan ap jzq_bl model WA2612-AGN id 107 
ap-name 电器 _VLAN167_107 
priority level 7 
serial-id 210235 A0ALC11B000496 
backup-ac ip 192.168.56.2 
radio 1 
service-template 1nas-id 3731071627000460 
service-template 2nas-id 3731071627000460 
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radio enable 


# 


IAG 全 局 配置 Portal NAS-ID。 


<IAG> display current-configuration 


# 


portalnas-id 3731071627000460 
# 
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检查 wps 
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7.4.6 无 线 PSK 认证 故障 排查 步骤 详解 
1. 开始 


PSK(Pre-Shared Key, 预 共享 密 钥 ) 认 证 需要 在 无 线 客户 端 和 设备 端 配 置 相同 的 预 共 享 
密 钥 ,如 果 密 钥 相 同 ,PSK 接 入 认证 成 功 ; 如 果 密 钥 不 同 ,PSK 接 人 认证 失败 。 


2. 流程 图 相关 操作 说 明 


(1) 连接 SSID 是 否 弹出 密码 输入 框 
若 正确 配置 了 PSK 认证 ,终端 连接 SSID 会 弹出 密码 输入 框 , 图 7-45、 图 7-46 所 示 分 别 为 


Windows 7 #ll iOS 的 终端 密 钥 输入 页 面 。 


eeeee 中 国电 信 F 17:46 057% E+ 
请 输入 "123" 的 密码 
取消 输入 密码 加 入 


密码 | 


Aslo Flans ki 
J zixic vle nim C 


7-45 Windows 7 的 终端 密 钥 输入 页 面 图 7-46 iOS 的 终端 密 钥 输入 页 面 


(2) 检查 PSK 配置 
检查 全 局 端口 安全 是 否 开启 ,终端 关联 SSID 对 应 ESS 接口 的 PSK 配置 : 端口 安全 模式 


为 PSK 使 能 11key 类 型 的 密 钥 协商 功能 并 设置 密 钥 。 


[AC]display current-configuration 


port-security enable // 全 局 使 能 端口 安全 

# 

wlan service-template 1 crypto // 服 务 模板 下 SSID 与 ESS 接口 对 应 
ssid 123 


bind WLAN-ESS 1 
cipher-suite tkip 
security-ie rsn 
service-template enable 
# 

# 
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interface WLAN-ESS1 
port access vlan 2 
port-security port-mode psk 。。”// 使 能 端口 安全 模式 为 PSK 
port-security tx-key-type 11key ”// 使 能 11key 类 型 的 密 钥 协商 功能 
port-security preshared-key pass-phrase cipher $ c $ 3 $SHcJ950t8GUuMW7zb96175T9IwDNjtFzbJ43 
// 设 置 密 钥 
# 


(3) 测试 明文 关联 

创建 一 个 非 业务 VLAN 的 明文 测试 SSID, 检 查 明文 关联 是 否 有 问题 ,可 参考 无线 终端 
关联 失败 故障 排查 云图 》。 

(4) 密 钥 是 否 一 臻 

PSK 接 入 用 户 必须 使 用 设备 上 预先 配置 的 静态 密 钥 , 即 PSK 与 设备 进行 协商 ,协商 成 功 
后 可 访问 端口 ; 终端 在 密 钥 输入 页 面 输入 密 钥 后 , 若 提示 密 钥 不 正确 , 则 无 法 接 人 无 线 服务 ， 
如 图 7-47、 图 7-48 所 示 分 别 为 Windows 7 和 iOS 的 终端 密 钥 错误 显示 。 


seeee 中 国电 信 3G 14:51 LECET E 
无 法 加 入 "123” 
取消 输入 密码 加 入 
密码 eeeeeee 
“123” 
的 密码 不 正确 


关 


awlelRit yulilop 
AlslolF GH JK L 
gJ z xlelv enm O 


Windows 无 法 连接 到 123 


usss 


图 7-47 Windows 7 的 终端 密 钥 错误 显示 7-48 iOS 的 终端 密 钥 错误 显示 


O EHHA 
重新 配置 预 共 享 密 钥 。 


[AC-WLAN-ESS2] port-security preshared-key ? 
pass-phrase Specify port preshare phrase key // 以 字符 串 方式 设置 预 共享 密 钥 
raw-key Specify port preshare raw key // 以 十 六 进 制 方式 设置 预 共 享 密 钥 
[AC-WLAN-ESS2] port-security preshared-key pass-phrase 12345678 


cipher: 以 密 文 方式 设置 密 钥 。 
simple; 以 明文 方式 设置 密 钥 。 
以 明文 或 密 文 方式 设置 的 共享 密 钥 , 均 以 密 文 的 方式 保存 在 配置 文件 中 。 设 置 的 明文 密 
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钥 或 密 文 密 钥 ,区 分 大 小 写 。 明 文 密 钥 为 8 一 63 个 字符 的 字符 串 或 者 长 度 为 64 位 的 合法 十 六 
进 制 数 ; 密 文 密 钥 为 8 一 117 个 字符 的 字符 串 。 不 指定 cipher 或 simple 时 ,表示 以 明文 方式 
设置 共享 密 钥 。 
(6) 收集 diag ,debugging 信息 
收集 AC 诊断 信息 和 debugging 信息 。 
说 明 : 开启 debug 之 前 ,请 检查 CPU 和 内 存 的 使 用 情况 ,确保 开启 debus 不 会 影响 设备 
的 正常 运行 。 收 集 完 信息 后 请 及 时 关闭 debug。 
O 当 AC 在 线 用 户 数 少 于 或 等 于 3000 时 ,建议 用 下 面 的 命令 收集 信息 并 使 用 调试 开关 
进行 调试 ,尽量 避免 console 口 和 无 线 登 录 AC, 信 息 可 能 会 打印 不 全 ,优选 有 线 telnet, 
命令 : debugging wlan mac all 
debugging port-security all 
debugging dot 1zall 
terminal monitor 
terminal debugging 
© 当 AC 在 线 用 户 数 超过 3000 时 ,建议 等 业务 闲 时 关联 用 户 数 下 降 到 3000 以 下 ,再 执 
行 上 述 操作 ,收集 完 信 息 后 请 关闭 debug。 


VRRPrNQA 联 动 失败 故 隙 排查 
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---》 表示 上 一步 结果 出 现 词 是 


查看 Tak 状态 查看 vRRp 状 
是 否 为 Positive BLEEE 


检查 网 络 [rack E 检查 vRRP 配 置 


连通 性 


拨打 热线 
400-310-0504 
4E 
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FAI I 联动 失败 步骤 详解 


1. 开始 

定位 故障 的 思路 是 : 首先 观察 NQA 收发 统计 报 文 是 否 一 致 ,判断 NQA 检测 是 否 正常 ; 
如 果 NQA 检测 报 文 收发 不 一 致 且 差 值 数量 在 增长 , 则 检查 网 络 质 量 、 设 备 CPU 利用 率 以 及 
探测 报 文 发 送 频 率 / 超 时 时 间 的 设置 ; 如 果 NQA 检查 报 文 收发 一 致 或 者 收发 差 值 没 有 增长 ， 
则 需要 检查 Track 状态 ,如 果 Track 状态 异常 , 则 需要 检查 NQA 配置 ; 如 果 Track 状态 正常 ， 
这 需要 检查 VRRP 状态 是 否 正常 ; 如 果 VRRP 状态 异常 则 需要 检查 主 备 之 间 二 层 链 路 是 否 
稳定 以 及 VRRP 配置 是 否 一 致 ; 如 果 VRRP 状态 正常 , 则 需要 检查 Track 与 VRRP 联动 配置 
以 及 VRRP 实地 址 与 虚 地 址 是 否 一 致 。 

2. 流程 图 相关 操作 说 明 

(1) NQA 收发 报 文 统计 是 否 正常 

NQA 统计 数据 记录 报 文 收发 数量 以 及 检测 失败 报 文 分 类 统计 数量 ,通过 收发 报 文 数量 
差 值 可 以 判断 NQA 检测 是 否 正常 ,如 果 多 次 查看 发 送 报 文 数量 与 接收 报 文 数量 差 值 稳定 不 
变 , 则 说 明 NQA 探测 正常 ,反之 则 说 明 NQA 探测 异常 。 

MA: display nqa statistics 

例如 : 通过 命令 查看 NQA 报 文 统计 信息 ,检查 发 送 报 文 数量 和 接收 数量 是 否 一 致 ,判断 
NQA 探测 是 否 正 常 。 


[Master] display nqa statistics 
NQA entry (admin admin, tag test) test statistics: 
NO. z 1 
Destination IP address: 192.168.2.10 
Start time: 2015-04-27 13:05:02.2 
Life time: 1351 seconds 
Send operation times:7045 Receive response times: 6620 
Min/Max/ Average round trip time: 1/51/5 
Square-Sum of round trip time: 274288 
Extended results: 
Packet loss in test: 6% 
Failures due to timeout: 425 
Failures due to disconnect: 0 
Reaction statistics: 
Index Checked Element Threshold Type Checked Num Over-threshold Num 
2 probe-fail consecutive 7044 425 


(2) 检查 网 络 连通 性 

检查 NQA 探测 目的 地 址 是 否 可 达 , 如 果 目 的 IP 地 址 ping 不 通 ,主要 检查 以 下 内 容 。 
O 检查 接口 是 否 Up, 链 路 是 否 故障 。 

@ 检查 互 连 端口 统计 ,检查 错误 报 文 统计 是 否 在 增长 。 

O 检查 链 路 状况 是 否 有 震荡 ,是 否 有 端口 频繁 Up/Down, 

@ 检查 NQA 目的 IP 地址 路 由 是 否 可 达 。 

© 端口 下 是 否 开 启 了 认证 .ACL 过 滤 等 安全 功能 。 

© 如 果 是 光 介 质 , 检 查 光 衰 减 是 否 在 正常 范围 之 内 。 
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(3) 检查 CPU 占用 率 


一 般 情况 下 ,CPU 利用 率 超过 90% 时 可 能 会 导致 探测 报 文 上 送 CPU 丢 包 ,这 时 需要 排 
查 CPU 高 的 原因 。 

MS: display cpu-usage 

例如 : 查看 设备 的 CPU 占用 率 。 


Master> display cpurusage 
Slot 1 CPU usage: 
92% in last 5 seconds 
90% in last 1 minute 
81% in last 5 minutes 


(4) 检查 探测 报 文 发 送 频率 /超时 时 间 
根据 网 络 的 流量 大 小 .设备 的 性 能 、 链 路 质量 状况 等 因素 ,合理 配置 探测 报 文 的 发 送 间 隔 
以 及 失效 时 间 。 修 改 NQA 探测 报 文 的 发 送 间隔 和 允许 连续 的 探测 失败 次 数 。 
命令 : frequency interval 
reaction item-number checked-element probe-fail threshold-type consecutive 
consecutive-occurrences action-type trigger-only 


例如 : 配置 NQA 探测 报 文 发 送 间隔 为 1500ms, 最 多 允许 连续 5 个 报 文 失 效 。 


[Master-nqa-admin-test-icmp-echo]display this 
# 
type icmp-echo 

frequency 1500 


reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only 
(5) 查看 Track 状态 是 否 为 Positive 
通过 命令 查看 Track 项 状态 ,如 果 Track 状态 稳定 在 Positive, 则 说 明 Track 正常 ,如 果 
Track 状态 为 Negative 或 者 Invalid 状态 , 则 说 明 Track 状态 异常 。 
命令 : display track track-entry-number 
例如 : 通过 命令 查看 Track 1 的 当前 状态 。 


[Master] display track 1 

Track ID: 1 
Status: Positive 
Duration: 0 days 0 hours 14 minutes 11 seconds 
Notification delay: Positive 0, Negative 0 (in seconds) 
Reference object: 


NQA entry: admin test 
Reaction: 1 


(6) 检查 Track 与 NQA 绑 定 配置 
配置 Track 项 时 ,如 果 引 用 了 错误 的 NQA 测试 组 , 则 该 Track 项 的 状态 为 Invalid。 
例如 : Track 项 错误 的 引用 了 NQA 测试 组 admin test Reaction 1 导致 Track 项 状态 为 


Invalid, 


[Master] display track 1 
Track ID: 1 
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Status: Invalid 

Duration: 0 days 0 hours 1 minutes 9 seconds 

Notification delay: Positive 0, Negative 0 (in seconds) 

Reference object: 
NQA entry:admin test 
Reaction:1 

[Master] display nqa reaction counters admin test 

NQA entry (admin admin, tag test) reaction counters: 
Index Checked Element Threshold Type Checked Num QOver-threshold Num 
2 probe-fail consecutive 833 73 


(7) 查看 VRRP 状态 是 否 正常 

通过 命令 检查 主 备 VRRP 状态 是 否 正常 ,如 果 主 设备 VRRP 状态 为 Master, 备 设备 
VRRP 状态 为 Backup, 则 VRRP 状态 正常 ,反之 若 为 其 他 状态 则 VRRP 状态 异常 。 

命令 : display vrrp interface vlan x 


例如 : 通过 命令 查看 主 备 设备 VLANI 的 VRRP 状态 信息 。 


[Master] display vrrp interface vlan 1 
IPv4 Virtual Router Information: 
Running mode : Standard 
Total number of virtual routers on interface Vlan-interfacel : 1 
Interface VRID State Running Adver Auth Virtual 
Pri Timer Type IP 


Vlan1 1 Master 120 100 None 192.168.1.1 


[Backup]display vrrp interface vlan 1 
IPv4 Virtual Router Information: 
Running mode : Standard 
Total number of virtual routers on interface Vlan-interface1 : 1 
Interface VRID State Running Adver Auth Virtual 
Pri Timer Type IP 


Vlan1 1 Backup 100 100 None 192.168.1.1 


(8) 检查 VRRP 配置 是 否 正确 

主 备 的 VRRP 配置 保持 一 致 时 ,VRRP 状态 才 可 以 正常 ,VRRP 关键 配置 包括 VRID、 虚 
IP 地 址 .认证 方式 以 及 密 钥 相 同 ,通过 命令 检查 主 备 配置 是 否 正常 。 

命令 : display current-con figuration 


例如 : 使 用 命令 查看 检查 主 备 的 VRRP 配置 是 否 一 致 。 


[Master] display current-configuration 
# 
interface Vlan-interfacel 
ip address 192.168.1.2 255.255.255.0 
vrrp vrid 1 virtual-ip 192.168.1.1 
vrrp vrid 1 priority 120 
vrrp vrid 1 preempt-mode delay 5 
vrrp vrid 1 track 1 priority reduced 30 
# 
[Backup ]display current-configuration 
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# 

interface Vlan-interface1 
ip address 192.168.1.3 255.255.255.0 
vrrp vrid 1 virtual-ip 192.168.1.1 
vrrp vrid 1 priority 100 


# 


(9) 检查 VRRP 主 备 间 二 层 链 路 是 否 正常 

VRRP 协议 通过 二 层 报 文 相互 建立 连接 , 当 VRRP 协议 报 文 转发 VLAN 二 层 不 通 时 ,将 
影响 主 备 之 间 的 VRRP 状态 ,如 果 VRRP 协议 报 文 转 发 VLAN 二 层 不 通 , 请 检查 如 下 几 项 。 

O 检查 接口 是 否 Up, 链 路 是 否 故障 。 

O 检查 链 路 状况 是 否 有 震荡 ,是 否 有 端口 频繁 Up/Down, 

@ 端口 下 是 否 开 启 了 认证 .ACL 过 滤 等 安全 功能 。 

@ 如 果 是 光 介质 ,检查 光 衰 减 是 否 在 正常 范围 之 内 。 

(10) 检查 Track 与 VRRP 联动 绑 定 关系 

如 果 Track 状态 发 生变 化 , 则 无 法 与 应 用 模块 联动 ,检查 需要 关联 的 Track 项 是 否 已 创 
建 , 或 与 应 用 模块 关联 的 Track 项 是 否 正确 。 

例如 : 查看 配置 的 VRRP 是 否 与 Track 项 正确 关联 。 


[H3C] display current-configuration interface vlan 1 
# 
interface Vlan-interfacel 
ip address 192.168.1.2 255.255.255.0 
vrrp vrid 1 virtual-ip 192.168.1.1 
vrrp vrid 1 priority 120 
vrrp vrid 1 preempt-mode delay 5 
vrrp vrid 1 track 1 priority reduced 30 
# 
return 
[H3C] display track 1 
Track ID:1 
State: Positive 
Duration: 0 days 1 hours 49 minutes 57 seconds 
Notification delay: Positive 0, Negative 0 (in seconds) 
Tracked object: 
NQA entry: admin test 
Reaction: 1 


(11) 检查 VRRP 虚 地 址 与 实地 址 是 否 一 臻 

VRRP 正常 状态 时 ,设备 的 VRRP 虚 地 址 与 实地 址 在 同一 个 网 段 且 不 相同 , 主 设备 
VRRP 虚 地 址 与 实地 址 相同 时 ,查看 主 备 VRRP 状态 正常 , 当 NQA 检测 到 目的 地 址 不 可 达 
时 ,Track 将 联动 VRRP 失败 ,VRRP 状态 将 不 能 正常 的 切换 。 
命令 : display current-con figuration inter face vlan = 


例如 : 使 用 命令 查看 VLAN 接口 VRRP 实地 址 与 虚 地 址 是 否 相 同 。 


[H3C] display current-configuration interface vlan 1 


# 


interface Vlan-interface1 
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ip address192.168.1.2 255.255.255.0 
vrrp vrid 1 virtual-ip192.168.1.1 
vrrp vrid 1 priority 120 
vrrp vrid 1 preempt-mode delay 5 
vrrp vrid 1 track 1 priority reduced 30 
# 


return 


五 线 g24x 认 证 故障 排 


— 志 示 上 一 步 结果 王 刘 
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7.4.8 无 线 802.1x 认证 故障 排查 步骤 详解 


1. 开始 

AC 做 无 线 802. 1x 认证 ,实际 是 由 服务 器 完成 EAP 方法 的 定义 ,如 PEAP.TLS.EAP-SIM, 

在 802. 1x 认证 中 ,AC 处 于 通信 桥梁 的 角色 ,其 基本 功能 是 在 终端 和 AAA 服务 器 之 间 建 
立 一 条 EAP 报 文 交互 通道 。 终 端 和 服务 器 再 基于 这 个 通道 协商 具体 的 EAP 认证 方法 ,并 完 
成 身份 的 验证 。 

定位 思路 是 : 先 确定 问题 发 生 的 范围 和 故障 类 型 ,再 根据 具体 情况 排查 配置 细节 。 另 外 ， 
设备 上 的 debug 调试 信息 是 重要 的 定位 手段 。 

2. 流程 图 相关 操作 说 明 

(1) 认证 失败 or 掉 线 

确定 故障 类 型 : 是 802. 1x 认证 失败 ,用 户 始终 无 法 访问 网 络 ? 还 是 终端 能 认证 成 功 , 且 
能 短暂 上 网 ,但 是 会 掉 线 ?可 以 通过 AC 上 命令 确定 用 户 能 否 通过 802. 1x 认证 。 

MA: display connection access-type dotlx 


例如 : 通过 命令 查看 1x 认证 用 户 信息 ,可 以 看 到 用 户 名 和 终端 MAC 地址 。 


< AC>4display connection access-type dotlx 


Index=718 ,Username 一 luo2@@ dot1x 
MAC=24-77-03-91-77-20 
IP=N/A 
IPv6=N/A 
Total 1 connection(s) matched. 


另外 ,注意 识别 特殊 情况 : iphone、ipad、android 等 终端 在 802. 1x 认证 成 功 后 ,还 必须 获 
取 IP 地 址 ,才能 显示 成 功 连 接 802. 11 网 络 。 所 以 DHCP 服务 器 工作 异常 或 者 有 线 网 络 
VLAN 设置 错误 也 可 能 导致 误 判 为 802. 1x 认证 失败 。 

(2) 个 例 or 全 网 故障 

了 解 掉 线 问题 发 生 的 范围 ,是 全 网 大 多 数 终端 掉 线 ,还 是 只 有 个 别 终端 异常 。 必 要 时 ,请 
尝试 更 换 终端 测试 ,比如 PC、\ 不 同型 号 的 手机 。 

(3) 优化 1x 细节 配置 

802. 1x 认证 成 功 后 ,默认 情况 下 AC 设备 会 开启 1x 握手 、 重 认证 等 功能 ,也 即 是 每 隔 一 
段 时间 要 求 终端 重新 实施 一 次 802. 1x 认证 ,这 就 有 可 能 导致 终端 发 生 异 常 掉 线 。 另 外 终端 在 
发 生 无 线 漫游 的 时 候 , 会 在 漫游 发 生 的 瞬间 出 现 一 个 1x 账号 在 服务 器 上 有 两 个 用 户 同时 在 线 
的 情况 ,所 以 需要 服务 器 侧 配置 允许 同一 个 账号 多 人 登录 。 
配置 优化 : 关闭 1x 握手 、 多 播 触 发 .1x 重 认证 等 。 


<H3C>display current-configuration 


interface WLAN-ESS1 
port link-type hybrid 
undo port hybrid vlan 1 
port hybrid vlan 228 298 untagged 
port hybrid pvid vlan 298 
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mac-vlan enable 
port-security port-mode userlogin-secure-ext 
port-security tx-key-type llkey 
undo dotlx handshake 
undo dotlx multicast-trigger 
undo dotlx re-authenticate 


# 


同时 注意 AC 上 Radius Scheme 类 型 配置 。 如 果 出 现 1x 掉 线 的 故障 ,建议 先 统一 修改 
Radius Scheme 为 Standard ,尝试 能 否 解决 。 


< H3C>4isplay current-configuration 

# 

radius schemepeap 
server-type standard ”// 建 议 统一 修改 为 Standard 尝试 能 否 解决 
primary authentication10.176.1.138 2645 
primary accounting10.176.1.138 2646 
key authentication cipher abQuGU4cQTpZL8rzyG52eg== 
key accounting cipher abQuGU4cQTpZL8rzyG52eg== 
user-name-Íormat keep-original 
nas-ip 218.200.72.36 
retry stop-accounting 10 


(4) 优化 无 线 空 口 环 境 

当 无 线 空 口 环境 较 差 , 比 如 存在 WLAN 外 部 干扰 .信道 功率 缺乏 合理 规划 、 低 速率 帧 占 
用 、 无 效 广播 组 播报 文 等 ,都 可 能 影响 WLAN 通信 质量 ,进而 导致 802. 1x 掉 线 。 

建议 按照 ( 技 基 通知 2014(005) 号 一 关于 下 发 行业 无 线 优化 操作 规范 的 通知 ) 完 成 网 络 优化 。 

(5) 检查 终端 配置 及 账号 密码 

WRH PEAP 方式 ,检查 终端 配置 、 账 号 密码 ; 如 果 为 TLS 方式 ,检查 终端 证 书 配置 。 

例如 : PEAP 方式 下 Windows XP 客户 端 配置 ,如 图 7-49 所 示 。 


TAE 
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> 


== 


TETAP HERES ESRAR ENERSEN T). 
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REE EASO 2) a Eo] 
口 有 用 快速 重新 这 接 a, 


图 7-49 Windows XP 客户 端 配置 
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例如 : TLS 方式 下 个 人 证 书 检查 ,如 图 7-50 所 示 。 


Internet 选项 
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r mn © 


证 书 用 户 名 必 
须 和 iMC 上 接 
入 用 户 名 一 致 


Tateraet Faplerer 可 以 得 着 如 所 安装 的 安生 强度 。 
+ ORZFORXETMA , MARZPETORREN H. 


A 7-50 TLS 方式 下 个 人 证 书 检查 


(6) 检查 AC 的 EAP 配置 
AC 的 dotlx 配 置 并 不 复杂 ,检查 关键 的 1x 配置。 注意 使 能 MAC-VLAN 保证 VLAN 授 
权 完 成 ,否则 也 会 导致 dotlx 认证 最 终 失 败 。 另 外 ,建议 强制 指定 802. 1x 认证 域 。 


<H3C>display current-configuration 
# 
port-security enable 
# 
dotlx authentication-method eap 
# 
interface WLAN-ESS1 
port link-type hybrid 
undo port hybrid vlan 1 
port hybrid vlan 228 298 untagged 
port hybrid pvid vlan 298 
mac-vlan enable 
port-security port-mode userlogin-secure-ext 
port-security tx-key-type 11key 
dot1x mandatory-domain peap 
undo dot1x handshake 
undo dotlx multicast-trigger 
undo dot1x re-authenticate 


# 


(7) AC 与 AAA 通信 正常 
AC 需要 与 AAA 直接 交互 Radius 协议 报 文 ,并 使 用 指定 的 IP 地 址 通信 , 即 Radius NAS- 
IP。 因 此 ,需要 保证 AC 的 RADIUS NAS-IP 与 AAA 服务 器 路 由 可 达 。 
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测试 方法 : AC 带 源 ping。 另 外 ,注意 排查 网 络 中 的 防火 墙 等 设备 是 否 可 能 阻 断 Radius 


协议 报 文 。 


关于 Radius NAS-IP: AC 可 以 在 Radius 策略 中 指定 Radius NAS-IP。 


< H3C>-4isplay current-configuration 
# 
radius schemepeap 
server-type extended 
primary authentication10.176.1.138 2645 
primary accounting10.176.1.138 2646 
key authentication cipher abQuGU4cQTpZL8rzyG52eg== 
key accounting cipher abQuGU4cQTpZL8rzyG52eg== 
user-name-format keep-original 
nas-ip 218.200.72.36 
retry stop-accounting 10 


# 


(8) 检查 服务 器 配置 
排查 服务 器 802. 1x 配置 ,如 EAP 方法 的 定义 .证 书 , 接 人 设备 相关 参数 定义 等 。 是 否 配 


置 相 同 账号 允许 至 少 两 个 用 户 同 时 在 线 等 。 


(9) 检查 key、 端 口号 配置 
检查 AC $j Portal, AAA 通信 的 key、 端 口号 配置 。 服 务 器 侧 的 配置 也 需要 同步 检查 。 


<H3C>display current-configuration 
# 
radius schemepeap 
server-type extended 
primary authentication10.176.1.138 2645 
primary accounting10.176.1.138 2646 
key authentication cipher abQuGU4cQTpZL8rzyG52eg== 
key accounting cipher abQuGU4cQTpZL8rzyG52eg== 
user-name-format keep-original 
nas-ip 218.200.72.36 
retry stop-accounting 10 


# 


(10) 收集 debug 信息 .详细 配置 信息 
如 果 上 述 步骤 仍 无 法 最 终 解决 问题 ,可 以 抓 取 设备 侧 详 细 的 debug 信息 辅助 定位 。 开 启 


debug 前 检查 下 CPU、 内 存 情 况 , 反 馈 二 线 确认 风险 后 实施 。 收 集 完 成 后 及 时 关闭 。 


建议 ,在 业务 低 峰 期 抓 debug。 业 务 高 峰 期 可 能 会 有 大 量 其 他 调试 或 者 日 志 信 息 输出 , 导 


致 有 效 故 障 信息 打印 丢失 。 


命令 : 


<AC> display radius statistics 
<AC> debugging wlan mac event 
<AC> debugging wlan mac error 
<AC> debugging port-security all 
<AC> debugging dotlx all 
<AC> debugging sc error 
<AC> debugging radius packet 
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检查 部 署 方式 
iMC 安 状 部 署 故障 排查 
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08 iMC 管理 软件 Y 8.1 业务 软件 : MC 3 8-1. ME aa 步骤 详解 
1. 开始 


实际 应 用 中 良好 的 安装 和 部 署 iMC 可 以 保证 网 管 在 安装 完成 后 的 正常 使 用 和 方便 维护 。 
在 安装 部 署 过 程 中 ,应 遵循 先 做 好 规划 ,确认 软 硬 件 环境 ,再 安装 平台 和 组 件 。 当 出 现 部 署 问 
题 时 ,应 根据 流程 图 按照 以 下 步骤 依次 进行 检查 。 

2. 流程 图 相关 操作 说 明 

(1) 确认 部 署 方式 

首先 ,应 根据 局 点 具体 需求 和 所 需 安 装 组 件 来 确定 部 署 方式 ,应 参考 4 智能 管理 中 心 
CiMC) 部 署 和 硬件 配置 方案 》, 并 根据 局 点 具体 业务 选择 集中 式 或 分 布 式 部 署 。 例 如 : 若 在 平 
台 和 NTA 组 件 同时 使 用 ,而 监控 流量 较 大 时 ,建议 选择 分 布 式 的 部 署 方式 , 即 平台 和 NTA 分 
别 部 署 在 不 同 的 服务 器 上 。 另 需 确认 是 否 需要 使 用 探 针 服务 器 。 

(2) 检查 硬件 环境 

这 一 步 又 中 ,如 果 发 现 局 点 部 署 方式 不 符合 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 》 
对 服务 器 的 要 求 , 则 需 对 环境 进行 整改 。 

(3) 检查 操作 系统 

根据 (智能 管理 中 心 iMC) 部 署 和 硬件 配置 方案 ) 和 相应 版 本 平台 的 版 本 说 明 书 检查 操作 
系统 是 否 符合 要 求 , 相 关 补 丁 是 否 已 安装 。 例 如 : 根据 (iMC PLAT 5.2 (E0401) 版 本 说 明 
书 ) 中 要 求 , 当 使 用 Windows Server 2003 R2 with Service Pack 2(64bit) 时 , 需 安装 系统 补丁 
KB942288 ,如 果 操 作 系统 不 符合 要 求 或 补丁 未 打 , 则 可 能 在 安装 后 导致 进程 无 法 启动 等 问题 。 

(4) 检查 数据 库 配 置 

数据 库 安装 完成 后 ,需要 根据 相应 数据 库 的 安装 配置 指导 书 进 行 配置 ,这 些 数 据 库 的 配置 
指导 书 均 可 以 在 安装 光盘 的 /manual 文件 夹 下 找到 。 如 果 是 SQL Server 数据 库 , 需 配置 
TCP/IP 属性 ,将 SQL Server 置 于 以 * 本 地 系统 ”的 方式 启动 ,并 重启 SQL Server 服务 。 如 果 
是 Oracle 数据 库 ,应 为 其 配置 网 络 服务 名 、 增 加 监听 器 的 数据 库 服务 并 根据 实际 需求 调整 
Oracle 的 进程 数 和 连接 数 。Oracle 连接 数 默认 情况 下 允许 150 个 。 完 成 以 上 配置 后 , 需 设 置 
Oracle 自 启 动 。 

(5) 检查 是 否 专机 专用 

iMC 软件 要 求 专机 专用 ,不 可 和 其 他 网 管 类 软件 或 大 型 软件 安装 在 同一 服务 器 ,以 免 出 
现 软件 冲突 或 产生 性 能 瓶颈 。 

如 有 其 他 杀毒 软件 外 的 应 用 软件 ,建议 删除 。 

(6) 检查 本 地 文件 及 版 本 依赖 

注意 : 安装 包 务必 拷贝 到 本 地 执行 安装 ,请 勿 远程 执行 安装 。 

在 该 步骤 中 ,应 检查 本 地 的 安装 文件 是 否 正常 解压 缩 。 同 时 ,应 根据 平台 和 组 件 的 版 本 说 
明 书 ,确定 版 本 依赖 关系 。 

(7) 检查 各 进程 运行 情况 及 端口 占用 情况 

iMC 的 平台 和 组 件 是 以 固有 的 TCP/UDP 端口 对 外 提供 服务 和 访问 ,如果 端口 被 其 他 程 
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序 占用 则 必 将 导致 进程 不 正常 。 在 iMC 平台 安装 和 运行 后 ,检查 各 进程 是 否 是 正常 运行 的 ， 
如 果 有 非 正 常 进程 ,应 检查 该 占用 所 使 用 的 端口 是 否 被 其 他 程序 占用 。 

检查 办 法 如 下 。 

首先 ,查看 哪个 进程 启动 有 异常 现象 ,并 在 文档 (iMC 运行 中 使 用 的 端口 ) 中 找到 该 进程 
对 应 的 端口 。 例 如 : unbaserver. exe 使 用 8052 ,9099 作为 其 内 部 端口 。 

然后 ,在 该 进程 所 在 的 服务 器 上 查看 该 端口 是 否 被 占用 。 以 Windows 系统 为 例 , 在 “ 开 
全 "菜单 中 ,找到 “运行 ”, 输 入 “cmd” 并 按 回 车 键 ,进入 cmd 命令 行 ,如 图 8-1 所 示 。 


=== 


= Windows 梅 恨 据 您 所 输入 的 名 称 ， 为 您 打开 相应 的 程序 、 
文件 夹 、 文 档 或 Internet 资源 ， 


打开 (O): E ~ 


O 使 用 管理 权限 创建 此 任务 。 


az || m ||[ aso. 


图 8-1 cmd 命令 行 


在 命令 提示 符 下 输入 命令 netstat -ano | findstr“ 要 查找 的 端口 号 ”, 如 要 查看 使 用 端口 
139 的 进程 命令 和 回 显 ,如 图 8-2 所 示 。 


(E EEA: CWindows\system32Acmd.exe " A] 


9-B-B-B:B LISTENING 
8.0.0.0:8 LISTENING 


图 8-2 端口 139 的 进程 命令 和 回 显 


由 以 上 可 了 解 使 用 139 端口 的 进程 的 PID 为 4, 下 一 步 就 是 根据 该 PID 找到 具体 进程 名 。 

按 Ctrl+Alt+Delete 组 合 键 ,进入 任务 管理 器 ,在 菜单 中 单 击 “ 查 看 ”>“ 选 择 列 ” 命 令 , 选 
中 PID( 进 程 标识 符 ) 复 选 框 , 如 图 8-3 所 示 。 

之 后 即 可 根据 前 面 了 解 到 的 PID 确定 使 用 该 端口 的 进程 是 什么 ,如 图 8-4 所 示 。 

由 以 上 即 可 确认 是 否 是 其 他 进程 占用 了 iMC 需要 的 端口 。 根 据 局 点 业务 ,确认 具体 情 
况 , 如 果 该 进程 可 以 关闭 , 则 关闭 该 占用 iMC 端口 的 进程 并 重启 iMC 异常 的 进程 尝试 修复 
问题 。 

(8) 收集 故障 现象 及 相关 前 后 台 日 志 

在 遇 到 现场 问题 时 ,应 首先 自行 定位 ,排除 前 面 所 述 各 步骤 可 能 的 问题 。 如 果 仍 不 能 解决 
问题 ,应 详细 收集 故障 现象 .版 本 信息 及 前 后 台 日 志 , 拨 打 热线 获取 技术 支援 。 

收集 信息 应 根据 4 业务 软件 网 上 问题 信息 反馈 模板 》 进 行 收集 。 
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Smss. exe 308 SYSTEM 00 
svchost.exe 356 LOCAL.. om 
esrss. exe 444 STSTE 00 
svchost.exe 456 LOCAL. 0 
wininit exe 498 system 00 
Csrss, exe 504 SYSTEM 00 2,644 K Cli 
services. exe 552 SYSTEM 00 
winlogon exe 584 syst 00 
1sass. exe 612 SISTEN 00 
00 


lsn. exe 620 — SISTEM 732K 本 
Ts 
国 显 示 所 有 用 户 的 进程 G) [结束 进程 @@) | 


进程 数 : 97 CPU ERE: 10% 物理 内 存 : 76% 


8-4 PID 确定 使 用 端口 的 进程 


一 一 人 衣 示 上 一 步 结果 正名 
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08 iMC 管理 软件 “多 3.1 业务 软件 : iMC KUNS a eiai 步骤 详解 
1. 开始 


管理 员 在 手工 增加 设备 后 ,就 将 设备 纳入 系统 的 管理 ,此 后 用 户 可 以 对 该 设备 进行 监控 及 
各 种 操作 。 本 流程 故障 排查 思路 主要 为 SNMP 配置 检查 .SNMP 通信 超时 检查 以 及 设备 类 型 
定义 检查 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

iMC 服务 器 在 网 顺利 运行 的 前 提 之 一 便 是 iMC 服务 器 的 安装 部 署 符 合 相 关 规 范 。 该 过 
程 主要 检查 iMC 服务 器 的 物理 性 能 是 否 足够 承载 相关 业务 ,重要 组 件 是 否 是 分 布 式 部 署 。 相 
关 部 署 要 求 规范 请 参考 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 》。 

(2) iMC 服务 器 运行 情况 检查 

TE IMC 及 其 组 件 的 部 署 符合 相关 规范 的 前 提 下 ,需要 对 MC 服务 器 的 运行 情况 进行 检 
查 。 该 过 程 检查 服务 器 的 CPU/ 内 存 利用 率 是 否 正 常数 据 库 运行 是 否 正 常 以 及 iMC 是 否 有 
未 启动 进程 。 

(3) iMC 与 设备 IP 可 达 

iMC 能 够 管理 设备 的 必要 条 件 之 一 便 是 iMC 与 设备 能 够 IP SNMP 可 达 , 建 议 设备 的 管 
理 IP 为 环 回 地 址 。 

(4) SNMP 配置 检查 

该 步骤 主要 检查 iMC 侧 SNMP 配置 与 设备 侧 SNMP 配置 是 否 一 致 ,在 iMC 侧 设备 详细 
信息 页 面 , 单 击 修改 SNMP 参数 , 即 可 获知 iMC flJ SNMP 配置 。 在 设备 侧 命令 行 执行 LH3C] 
display current-configuration | include snmp 即 可 获知 当前 设备 SNMP 配置 。 

(5) iMC 提示 “数据 库 错 误 ”/ 设 备 配 置 内 容 检查 

设备 添加 失败 的 情况 之 一 为 iMC 显示 数据 库 错误 ,如 图 8-5 所 示 。 


* 主机 各 或 |P 地 址 1372160400 


e 
saaa Cgo 
GE E E SSH meo 
固 将 设备 的 Trap 发 送 到 | 入 同 入 系统 
Bastant O 


图 8-5 iMC 显示 数据 库 错误 


E> iMC 管理 软件 903 


添加 设备 时 显示 数据 库 错 误 的 原因 一 般 为 设备 配置 内 容 中 存在 中 文字 符 导 致 ;MC 将 相 
关 信 息 写 人 数据 库 表 项 中 出 现 错误 ,建议 查看 设备 配置 ,将 相关 配置 信息 修改 为 英文 。 


[H3C-GigabitEthernet2/0/16]display this 
# 
interface GigabitEthernet2/0/16 
port link-mode route 
description f F f Z 
ip address 100.0.0.1 255.255.255.0 
mpls 
mpls ldp 


(6) 设备 类 型 为 PC 以 及 SNMP 通信 检查 
设备 添加 失败 的 情况 之 一 是 设备 类 型 为 PC, 见 图 8-6 。 


设备 详细 信息 

设备 标签 172.16.0.11 Biez 系统 名 称 

设备 状态 OE% KRA 

IP 地 址 172.16.0.11 位 置 

RA 255.255.0.0 运行 时 间 

sysOID 最 后 轮 询 时 间 2013-05-05 14:21:49 
设备 型 号 ICMP 登录 方式 Telnet Fiza 
am PC Bisa 接口 数量 0 接口 列表 

系统 阐述 


8-6 设备 类 型 为 PC 


设备 类 型 识别 为 PC 的 主要 原因 是 iMC 与 设备 SNMP 通信 出 现 故障 。 

SNMP 配置 主要 分 为 iMC SNMP 参数 配置 和 设备 SNMP 参数 配置 ,对 于 二 者 典型 配置 
方法 分 别 如 下 。 

设备 SNMP 配置 如 下 。 


<H3C>dis current-configuration | include snmp 
snmp-agent 
snmp-agent local-engineid 800063A203C4CAD9D3F751 
snmp-agent community read public 
snmp-agent community write private 
snmp-agent sys-info versionall 
snmp-agent target-host trap address udp-domain 172.16.0.9 params securityname public 


iMC SNMP 配置 如 下 。 

依次 单 击 “ 资 源 ”>“ 增 加 设备 ”命令 ,可 在 图 8-7 所 示 界 面 中 配置 相关 参数 。 

也 可 定制 SNMP 模板 ,从 已 有 的 SNMP 参数 模板 中 选取 。 

依次 单 击 “ 系 统管 理 ”>“ 资 源 管理 ”>“SNMP 模板 ”命令 ,该 处 可 增加 、 删 除 SNMP 模板 ， 
系统 默认 default 模板 , 见 图 8-8。 

一 般 情况 下 可 通过 修改 SNMP 超时 以 及 检查 防火 墙 是 否 过 滤 了 SNMP 报 文 来 解决 问 
题 。 可 在 设备 详细 信息 页 面 “配置 ”选项 框 中 “修改 SNMP 参数 ?来 调 高 SNMP 超时 , 见 
图 8-9。 
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17216.011 


设备 标签 

aa íi 

设备 分 组 P s Para es 
I Patana © 手工 编辑 SNMP 参 数 C 从 已 有 的 SNMP 戎 数 模板 中 迁 取 
回 将 设备 的 Trap 发 送 到 机 网管 系 统 有 |“ 2822 sayas = 
团 设备 支持 Ping 操 作 四 RRRA 
加 Ping 不 通 也 加 入 全 读 写 团体 字 


回 将 LoopBack 地 址 作为 管理 IP 
* 超时 时 间 (1-60 秒 ) 4 


* 重 试 次 数 (120) 3 


8-7 SNMP 参数 设置 界面 


[S] #%ë >> SNMP 模 板 


RARI @ 孝 助 


EE 
共有 1 条 记录 。 


aiem smaa lemaan ear me 
4 3 


default SNMPv2c 


8-8 系统 默认 default 模板 


Aaea E E a 
© 手工 编辑 SNMP 参 数 O 从 已 有 的 SNMP 参 数 模 板 中 迁 取 


* 参数 类 型 SNMPv2c - 
只 读 团体 字 


和 |] mñ 
图 8-9 设备 详细 信息 页 面 


(7) 设备 类 型 为 unknown device 或 其 他 SNMP 设备 /设备 类 型 定义 

设备 添加 失败 的 情况 之 一 为 设备 类 型 为 其 他 SNMP 设备 。 

设备 类 型 被 识别 为 unknown device 或 其 他 SNMP 设备 的 原因 一 般 为 设备 型 号 sysoid 未 
在 iMC 中 与 设备 型 号 做 预先 关联 。 可 通过 单 击 “ 系 统管 理 ”>“ 资 源 管理 ”命令 中 定义 “设备 系 
列 ”* 设 备 型 号 ”以 及 “设备 类 型 "来 解决 , 见 图 8-10。 


EG MC 管理 软件 905 
源 Mò 业务 W 报表 系统 管理 EN Go) Rma 
IIT —iww 次 要 管理 >E] sup 模板 MRR @ 


刷新 


上 传 图 片 


型 号 名 称 ~ 
3Com 1Terminal Server 


3Com 2000 


共有 6,210 条 记录 ， 当前 第 1- 50, 第 11125 页 。 


型 号 Sysoid 
13614143114 


136144143443 


3Com Terminal 
Servers 


” 
服务 器 , 


每 页 显示 : 8 15 [50] 1 
cr 


FREN E 
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图 8-10 资源 管理 
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A ES 8.1.3 iMC 告警 管理 
08 iMC 管理 软件 8.1 业务 软件 : iMC 故障 排查 


1. 开始 

iMC 网 管 特 色 功 能 之 一 是 提供 了 丰富 的 告警 管理 功能 ,该 功能 包含 告警 的 定义 、 过 滤 、 
syslog 升级 告警 转发 以 及 告警 转 储 等 特性 。 本 流程 排查 的 主要 思路 为 进程 检查 、 配 置 检查 、 
告警 预定 义 检查 、 告 警 升 级 策略 检查 .告警 过 滤 检查 以 及 告警 的 转 储 配 置 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

iMC 服务 器 在 网 顺利 运行 的 前 提 之 一 便 是 iMC 服务 器 的 安装 部 署 符合 相关 规范 。 该 过 
程 主要 检查 iMC 服务 器 的 物理 性 能 是 否 足 够 承载 相关 业务 ,重要 组 件 是 否 分 布 式 部 署 。 相 关 
部 署 要 求 规范 请 参考 智能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 》。 

(2) iMC 服务 器 运行 情况 检查 

在 iMC 及 其 组 件 的 部 署 符合 相关 规范 的 前 提 下 ,需要 对 iMC 服务 器 的 运行 情况 进行 检 
查 。 该 过 程 检查 服务 器 的 CPU/ 内 存 利 用 率 是 否 正常 .数据 库 运 行 是 否 正常 以 及 iMC 是 否 有 
未 启动 进程 。 

(3) imcfaultdm. exe 进程 是 否 启动 

可 在 服务 器 上 执行 如 下 命令 行 。 

netstat -aon | findstr 0. 0. 0. 0:162 来 判断 Trap 接收 端口 是 否 处 于 侦 听 状态 ,如 图 8-11 所 示 。 


图 8-11 判断 Trap 接收 端口 是 否 处 于 侦 听 状态 


由 图 8-11 可 知 162 端口 被 PID 为 6092 的 进程 占用 ,如 图 8-12 所 示 。 


A Ei B 内 存 站 过 

tan. exe 132 5756 SYSTEM 00  8,012K ta 
imcwlandn. exe +32 5760 SYSTEM 00 28,164 K imcwlandm 
sogouexplorer exe #32 5836 Admin.. 00 32764 K 搜狗 高 


uan. exe +32 
imcwipsdn. exe +32 


oo 1,668 K uam 
00 10,076 K inewipsdn 
00 14,964 K incspnedn 
00 13,376 K imcmpls. 
00 18,524 K incnplsdn 
00 19,412 K incnpls 
00 11,380 K imctedm 
00 10,432 K incl2vpndn 
00 1,452 K dbman 
00 22,768 K imcnetr. 
00 12,924 K incl2to 
00 8,88 K imcjobm 
8, 


incapnedn. exe +32 
imemplzypnda. exe +32 
imcmplsdn. exe +32 
incnplstpdn. exe #32 
inctedn. exe +32 
imcl2vpndn. exe 332 
dbman. exe +32 
inenetresdn. exe +32 
imel2topoda. exe *32 
imejobagrdn. exe #32 
imccndngrdn exe #32 
mcfaultdm exe #32 


imcupgdm. exe +32 o0 8, 


图 8-12 162 端口 被 PID 为 6092 的 进程 占用 


由 上 图 可 知 imcfaultdm. exe 的 进程 PID 为 6092 ,为 iMC 进程 。 若 为 非 imcfaultdm. exe 
进程 , 则 可 通过 在 DOS 窗口 执行 taskkill -f -pid 6092 来 终止 该 进程 ,在 iMC 部 署 监控 代理 中 
手工 启动 imcfaultdm. exe 来 保证 iMC 能 正确 接收 到 相关 Trap. 

说 明 : 一 般 情况 下 ,kill 进程 均 为 风险 操作 ,操作 前 须 和 客户 做 好 沟通 。 
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(4) 配置 Trap 上 送 至 iMC 
iMC 产生 设备 相关 告警 的 前 提 便 是 设备 及 时 将 Trap 等 信息 让 送 至 MC, 
Trap 上 送 至 iMC 配置 如 下 。 


[H3C] snmp-agent target-host trap address udp-domain 172.16.0.9 params 
securityname public 

[H3C]info-center enable 

[H3C]snmp-agent trap source LoopBack 0 


(5) 告警 过 滤 / 过 滤 规 则 配置 

iMC 是 否 生成 告警 由 操作 员 决 定 。iMC 默认 定义 了 四 条 过 滤 规 则 ,分 别 为 重复 Trap 过 
滤 、 闪 断 Trap 过 滤 、 未 知 Trap 过 滤 以 及 未 管理 设备 Trap 过 滤 。 相 关 过 滤 规 则 描述 见 
图 8-13。 


该 过 规则 yama ig OMS 
EELT] 

w ARRE 
TE ex 
Pu TT 


知 用 户 。 z 
iita ASUS; 并 可 在 达到 济 值 条 件 时 产生 新 告警 通知 用 = 
g 

= 


aE50Trapise ee 并 可 在 达到 磺 值 条 件 时 产生 新 告警 通知 用 
未 管理 设备 Trap 过 。 屏 若 接收 到 由 3 示 管理 设备 Trap， 并 可 在 达到 闹 值 条 件 时 产生 新 告警 
$ 通知 用 户 。 


8-13 ”过 滤 规 则 描述 


IMC 支持 操作 员 在 预定 义 Trap 过 滤 规 则 的 基础 上 自行 定义 Trap 规则 ,该 特性 支持 操作 
员 对 Trap、\ 设 备 、 端 口 以 及 时 间 段 进行 定义 ,从 各 个 维度 来 控制 iMC 告警 的 生成 , 见 图 8-14。 


过滤 规则 >> 增加 过 源 规 则 Omih 


“BERNER 


云图 示例 


EAR 按 党 用 Trap 组 ` 


+ 常用 Trap 组 


需 过 滤 的 接口 


选择 接口 


刚 除 接口 


说 明 : 如 果 不 选择 任何 接口 ,将 过 江 所 有 接口 的 Trap。 
+ 有 效 期 本 置 方式 以 周 为 局 期 进行 本 叶 ~ 


Fi gya Agr- Agn- Agp: 贺 星期 四 贺 星期 五 贺 星期 六 


* MENASE) 0000 litisin 


* ARNAS) 24:00 (hhmm) 


lU—— 
8-14 从 各 维度 控制 iMC 告警 生成 


(6) Trap 是 否 预 定义 
iMC 预定 义 了 若干 Trap 来 与 设备 上 送 的 Trap 进行 匹配 ,车 设备 上 送 Trap 未 在 iMC 中 


Er: MC 管理 软件 909 


预定 义 , 则 iMC 不 能 正确 解析 该 Trapo 
依次 单 击 “ 告 警 ”>“Trap 管理 ”>“Trap 定义 一 览 表 ”来 查看 iMC 自 定义 的 Trap, 
(7) 自 定义 Trap 
通过 在 “Trap 定义 一 览 表 ”中 单 击 “ 增 加 ”可 自 定义 一 个 Trap ,详细 界面 见 图 8-15。 


EDGE | 
基本 信息 A 
Trap OID ° 
Tapg 称 w_——swwsmwww 
企业 名 称 ° 
Trap wa - 
详细 信息 < 日 
Asra -© 
修复 建议 -© 
Mersi Ə 
去 
国 恢 复 Trap 设 置 2 


图 8-15 Trap 的 详细 界面 


相关 参数 说 明 请 详 见 iMC 联机 帮助 。 

(8) 是 否 有 告警 升级 策略 /Trap 升级 告警 规则 定义 

在 步骤 (7) 的 基础 上 ,还 需 配 置 Trap 升级 为 告警 规则 。 依 次 单 击 “ 告 警 "一 “Trap 管 
理 ”>“Trap 升级 为 告警 ”增加 Trap 升级 为 告警 规则 ?命令 ,可 查看 系统 默认 的 Trap 升级 
为 告警 规则 。 在 该 页 面 中 单 击 “ 增 加 ”按钮 可 新 建 Trap 升级 为 告警 规则 ,可 从 关键 字 、Trap 
W, Trap 类 型 以 及 时 间 等 维度 来 定义 一 个 规则 ,如 图 8-16 所 示 。 


A Trap 升 级 为 告 柳 >> 增加 Trap 升 级 为 告警 规则 


基本 信息 设置 
* 规则 名 称 云图 示例 


关键 字 设 置 
Trap 源 设置 


回 Trap 类 型 设置 
回 时 间 范 围 设置 


图 8-16 从 各 维度 定义 的 规则 
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相关 信息 请 参考 iMC 联机 帮助 。 

(9) 判断 告警 是 否 被 过 滤 /Trap 过 滤 规 则 检查 

在 上 述 步 骤 以 及 配置 都 正确 的 前 提 下 ,iMC 可 能 未 产生 相关 告警 。 对 于 该 种 场景 ,需要 
检查 iMC 现 有 告警 过 滤 规 则 是 否 将 相关 告警 过 滤 。 需 要 判断 设备 是 否 经 常生 成 该 Trap, 该 
Trap 是 否 被 iMC 当 作 重复 Trap 过 滤 ,如 图 8-17 所 示 。 


apimi sai o] 


刷新 RARER” 
规则 名 称 Trap rise 修改 
重复 Trapid 志 ”局 基 重 复 所 到 的 相同 Trap， 并 可 在 达到 闭 值 条 件 时 产生 新 告 共通 


知 用 户 。 El 

闪 断 Trap 分 析 PM ep 并 可 在 达到 闭 值 条 件 时 产生 新 告警 通知 用 = 
g 

g 


kamapi TRRRSKSEATIap, HPNEASRIAR EIEEE 
REMAT FERRINRENIETAap HARRER NENAS 
É 通知 用 户 。 


8-17 Trap 是 否 被 iMC 当 作 重 复 Trap 过 滤 


(10) 告警 是 否 生 成 以 及 iMC 抓 包 查看 是 否 收 到 Trap 

在 步骤 (9) 中 找到 相关 的 Trap 过 滤 项 的 前 提 下 ,iMC 还 未 生成 相关 告警 , 则 需要 在 服务 
器 进行 抓 包 , wireshark 软件 筛选 条 件 为 ip. src_host == x. x. x. x and udp. dstport==162, 

若 未 抓 取 到 相关 数据 包 , 则 需要 进行 排查 网 络 中 是 否 有 防火 墙 将 Trap 报 文 过 滤 等 操作 。 

aD 告警 是 否 转发 

IMC 支持 将 告警 通过 邮件 ,短信 、 转 发 至 其 他 网 管 的 方式 进行 转发 。 相 关 转 发 配置 详 见 
步骤 告警 转发 。 

(12) 告警 转发 

邮件 转发 : 分 为 两 个 部 分 ,分 别 为 邮件 服务 器 配置 和 告警 通知 与 转发 配置 。 邮 件 服 务 器 
配置 可 通过 单 击 “系统 管理 ”邮件 服务 器 配置 命令 来 指定 发 送 告警 的 邮件 地 址 ,如 图 8-18 
所 示 。 


Pl um >> 邮件 服务 器 配置 stik OR 


邮件 服务 器 配置 

* 邮件 服务 器 地 址 。 smtpyourcompany.com 
D ”邮件 服务 器 要 求 安全 连接 (SSL) 
国 邮件 服务 器 要 求 身份 验证 
* 验证 用 户 名 user 1 
* 验证 密码 
* 发 件 人 邮件 地 址 user@yourcompany com 


Git 


Ea 
图 8-18 ”发送 告警 的 邮件 地 址 
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邮件 转发 配置 可 通过 单 击 “ 告 警 ”>“ 告 警 设置 >“ 通知 与 转发 ">“ 增 加 邮件 通知 ”命令 来 
指定 需要 将 哪些 告警 发 送 至 哪个 邮箱 ,如 图 8-19 所 示 。 


aask >> 增加 邮件 通知 @#b 
P| 
+ NER 
目的 邮件 地 址 


增加 
| WER 


* 需 关注 的 告警 级 别 E ga 回 重 要 加 次 要 Z| gas 回 通知 


需 关注 的 设备 HERE ~ 
* 需 关注 的 告警 所 有 告警 ~ 
告 区 通知 时 间 耻 


星期 一 0000-2400 24:00 'hh:mm-hh:mm 
图 8-19 指定 告警 发 至 的 邮箱 
短信 转发 : 该 转发 方式 需要 在 iMC 服务 器 上 配置 一 短信 猫 。 
转发 至 其 他 网 管 : 单 击 “ 告 警 " 一 “告警 设置 ”一 "通知 与 转发 ”~" 增 加 告警 转发 ”命令 来 指 
定 需要 将 哪些 告警 发 送 至 哪个 IP, 如 图 8-20 所 示 。 


* 规则 名 称 [ | 

* 目的 iP 地址 

* 端口 162 

* 需 关注 的 告警 级 别 E| ga Agr Azs [Z| gas 固 通知 
需 关 注 的 设备 所 有 设备 bd 

-BANAS FASS 7 
寺 警 通知 时 间 段 
星期 一 00:00-24:00 hhmmhhmm) 
星期 二 100:00-24:00 (hh:mm-hh:mm) 
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(13) 告警 是 否 转 储 

随 着 告警 数据 量 的 增长 ,可 能 出 现 服务 器 磁盘 空间 不 足 的 现象 。 在 该 情形 下 可 通过 告警 
转 储 来 保留 相关 数据 。 相 关 配 置 详 见 步骤 告警 转 储 。 

(14) 告警 转 储 

依次 单 击 “ 系 统管 理 ”>“ 数 据 转 储 配置 ”命令 来 配置 告警 转 储 , 如 图 8-21 所 示 o 

需要 说 明 的 是 ,对 于 设备 告警 ,只 有 已 恢复 告警 才 会 进行 转 储 。 若 告警 未 恢复 , 则 当 其 持 
续 时 间 超 过 30 天 会 自动 变 为 恢复 状态 。 对 于 设备 Trap, 则 该 Trap 是 否 被 恢复 都 会 进行 
转 储 。 
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[=e > Bias ERRER 立即 转 鱼 @#B 


aea | BP Y asen | oS CPEZ 
RER | 历史 | 信息 检测 信息 i 
Pk | *= IPsec 历 
位 历 | 接 入 | ems 
BS |S 
TUTA 
Terie 
š * t 
* 闻 值 — ss 
a- 10000 条 ee 8000 条 
999999) 999999) 
Tenia 
HE 
-we 一 一 一 一 一 Se 
(aes) SO 天 mmn. 30 天 
LELEI] 
文件 
giii csv ` s 9999 k 
9999) 


8-21 告警 转 储 配置 
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< W E 8.1.4 iMC License 
08 iMC 管理 软件 8.1 业务 软件 : iMC 故障 排查 步骤 详解 


1. 开始 

iMC 的 各 项 功能 的 使 用 依赖 于 各 项 授权 ,所 有 的 授权 码 和 唯一 标识 服务 器 硬件 信息 的 
hostid 进行 绑 定形 成 License 文件 ,在 License 文件 导入 到 iMC 中 并 重新 启动 iMC 服务 ,所 有 
授权 才 会 正式 生效 。 

在 该 流程 中 ,有 部 分 操作 是 相同 或 类 似 的 ,本 文档 仅 对 首次 出 现 的 流程 进行 说 明 。 

2. 流程 图 相关 操作 说 明 

(1) 首次 使 用 

说 明 : 首次 使 用 License 是 针对 某 一 个 MC 的 一 套 授权 来 讲 的 ,而 不 是 针对 某 个 工程 师 
第 一 次 使 用 License。 首 次 使 用 即 表明 授权 已 确定 符合 客户 需求 ,不 涉及 服务 器 变更 或 授权 扩 
容 等 情况 。 

(2) 检查 授权 

检查 授权 是 否 符合 客户 需求 。 如 果 授 权 丢 失 ， 
应 通过 “ 找 回 授权 ”进行 找 回 。 

(3) 检查 主机 信息 (hostid) 


主机 信息 是 使 用 服务 器 硬件 信息 来 唯一 标识 服 | 
务 器 的 ,在 收集 后 会 形成 名 为 hostid 文件 。 _ 
以 下 是 收集 主机 信息 的 方法 。 mae 
在 iMC 登录 页 面 上 单 击 “产品 注册 ”按钮 ,如 图 8-22 iMC 登录 页 面 


图 8-22 所 示 。 
在 新 页 面 中 输入 admin 的 密码 ,选择 “申请 新 的 License 或 升级 现 有 的 License”, 并 单 击 
“下 一 步 ” 按 钮 ,如 图 8-23 所 示 。 


EO 
* 请 给 入 超级 管理 员 (admin 的 登录 密码 


* 选择 您 要 执行 的 操作 申请 新 的 License 或 升级 现 有 的 License ` 
* 国家 用 区 中 国 图 
Ca] 
图 8-23 选择 操作 


在 下 一 步 中 输入 相关 信息 后 , 单 击 “ 确 定 ” 按 钮 即 下 载 该 服务 器 hostid ,该 操作 在 任何 可 以 
访问 iMC 的 终端 上 执行 均 可 ,不 必 在 iMC 服务 器 上 操作 。 

在 首次 为 iMC 申请 License 和 进行 扩容 时 都 需要 执行 收集 主机 信息 的 操作 。 

说 明 : 收集 主机 信息 , 原 有 License 将 在 14 天 后 失效 。 仅 当 需 要 升级 License 时 , 才 应 该 
执行 该 操作 1! 

(4) 生成 License 文件 

生成 License 文件 的 过 程 即 把 授权 信息 和 主机 信息 进行 绑 定 的 过 程 。 在 操作 需 在 
License 平 台 上 进行 .首次 使 用 和 扩容 时 都 需 进 行 此 步骤 。 
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License 平 台 的 地 址 如 下 。 

Imp. h3c. com ( H3C 内 网 ) 。 

licenseing. h3c. com (AW). 

登录 License 平台 , 单 击 “License 激活 管理 ”一 “License 首次 激活 申请 ”命令 ,如 图 8-24 
所 示 。 

根据 网 页 提示 上 传 相关 文件 并 输入 客户 信息 , 单 击 “生成 ?按钮 即 可 。 

在 扩容 时 , 单 击 “License 激活 管理 ”>“License 扩容 激活 申请 ”命令 ,其 他 操作 类 似 。 

说 明 : 在 从 临时 License 文件 扩容 为 正式 License 文件 时 ,应 在 扩容 时 将 原 有 临时 授权 区 
除 再 添加 正式 授权 ,避免 因此 临时 授权 过 期 导致 整个 License 失效 。 

(5) 注册 License 文件 

在 iMC 登录 页 面 上 单 击 “ 产 品 注册 ”按钮 ,如 图 8-25 所 示 。 


H3C License 管 理 平台 
H3C License Management Platform 
待 处 理 任务 
me wa Í — J] 
/License 首次 激活 申请 
à 
图 8-24 License 登录 平台 图 8-25 iMC 登录 页 面 


在 新 页 面 中 输入 admin 的 密码 ,选择 “使 用 License 文件 对 产品 进行 注册 ”, 并 单 击 “ 下 一 
步 " 按 钮 ,如 图 8-26 所 示 。 


* 请 输入 超级 管理 员 ( admin ) 的 登录 密码 


* 选择 悠 要 执行 的 近 作 使 用 License 文 件 对 产品 进行 注册 ` 


* 国家 邮 区 中 国 ` 


Lr-s || wa | 
图 8-26 ”选择 操作 


在 下 一 步 的 页 面 中 根据 页 面 提示 上 传 License 文件 ,并 单 击 “ 确 定 ” 按 钮 , 即 完成 产品 
注册 。 

之 后 需 重 启 iMC 服务 ,授权 才 正 式 生效 。 

(6) 找 回 授权 

在 授权 信息 或 License 文件 丢失 时 ,一 般 情况 下 ,分 销 授 权 应 联系 市 场 接口 人 进行 找 回 ， 
行业 用 户 授权 通过 License 平台 进行 找 回 处 理 , 如 通过 License 平台 找 回 授权 码 , 应 提供 订单 
号 .未 遗失 的 软件 条 码 ,说 明 需 补 发 电子 件 或 授权 函 纸 件 , 并 说 明 补 发 原因 。 如 以 上 途径 不 能 
找 回 ,可 联系 技术 支持 中 心 协助 找 回 ,在 联系 时 ,应 提供 最 终 用 户 信 息 、 注 册 时间 及 平台 和 组 件 
信息 。 


916 it AAA KAE 


(7) 服务 器 变更 

更 换 服 务 器 可 以 在 License 平 台中 单 击 * 设 备 更 换 授 权 变更 管理 ”~* 设 备 更换 授权 变更 
申请 ”命令 ,进行 操作 ,在 操作 前 应 准备 好 客户 承诺 书 以 及 新 老 服 务 器 的 hostid。 

(8) 扩容 

扩容 是 指 对 增加 或 修改 原 服务 器 的 授权 节点 数 或 功能 授权 ,并 生成 新 的 License 文件 的 
过 程 ,该 操作 过 程 在 License 平 台 上 执行 。 


EA ' 8.1.5 iMC Doman £ W 
08 iMC 管理 软件 8.1 业务 软件 : iMC 份 故障 排查 f 


IMC Dbman £ 份 故 É 排查 


x 


* 


wai $e t 行 状态 窒 查 


拨打 热线 
400-310-0504 如 # # 3⁄ 


918 根 叔 的 云图 一 一 网 络 故障 大 排查 


MC 2E bh a 3 drre. 8.1.5 iMC Dbman 备 F 
08 iMC 管理 软件 8.1 业务 软件 : iMC 份 故障 排查 步骤 详解 
1. 开始 


iMC Dbman 备份 是 一 种 冷 备 方案 ,在 iMC 的 实际 安装 部 署 中 有 着 广泛 的 应 用 。iMC 
Dbman 的 问题 排查 思路 主要 分 为 如 下 三 大 部 分 。 

O iMC 主机 能 否 自动 将 自己 的 数据 库 文件 正常 备份 至 本 地 。 

© iMC 主机 能 否 正 常 将 备 机 出 来 的 数据 库 文件 FTP PUT 到 备 机 。 

© iMC 备 机 收 到 主机 FTP PUT 过 来 的 数据 库 文件 后 能 否 正常 还 原 到 备 机 的 iMC 数据 
库 中 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 主 备 机 安装 规范 检查 

对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 对 现场 iMC 服务 器 的 安装 规范 进行 
检查 ,排查 现场 的 服务 器 硬件 条 件 是 否 符合 iMC 服务 器 的 安装 规范 要 求 。 重 点 检查 如 下 
几 点 。 

O iMC 服务 器 是 否 专机 专用 , 即 除了 安装 iMC 之 外 不 安装 其 他 类 似 的 网 络 管理 类 
产品 。 

© 服务 器 的 硬件 配置 符合 IMC 的 安装 及 运行 要 求 。 

@ 在 大 规模 场景 中 ,iMC 服务 器 是 否 进行 了 合理 的 分 布 式 部 署 。 

(2) OS/DB 运行 状态 检查 

iMC 作为 一 个 软件 产品 其 运行 依赖 于 底层 操作 系统 及 数据 库 的 正常 运行 ,这 部 分 重点 排 
查 的 内 容 如 下 。 

D 操作 系统 \ 数 据 库 是 否 为 正版 软件 。 

© 操作 系统 数据库 是 否 已 打上 所 需 的 补丁 (对 照 iMC PLAT 的 版 本 说 明 书 )。 

@ 操作 系统 的 系统 时 间 配 置 正 确 。 

G) iMC 运行 状态 检查 

这 部 分 重点 排查 的 内 容 如 下 。 

O iMC 部 署 监控 代理 中 各 进程 运行 正常 ,无 状态 异常 的 进程 。 请 注意 某 些 情况 下 管理 员 
可 能 会 出 于 管理 的 考虑 将 某 些 iMC 进程 配置 为 手工 启动 ,这 种 情况 是 正常 的 ,但 dbman. exe 
必须 配置 为 自动 启动 并 且 处 于 运行 状态 。 

© iMC 主 、 备 服务 器 的 CPU、 内 存 利用 率 正常 。 

© iMC 主 备 机 安装 部 署 的 组 件 ,版 本 及 补丁 版 本 必须 是 相同 的 。 

(4) iMC 主机 自动 备份 检查 

检查 iMC 主机 部 署 监控 代理 的 配置 ,如 图 8-27 所 示 。 重 点 关注 如 下 几 项 。 

D 主机 的 操作 类 型 应 为 “自动 备份 操作 ”。 

© FTP 服务 器 的 IP 地址 、 用 户 名 及 密码 参数 须 正 确 无 误 。 
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自动 备份 与 恢复 配置 
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图 8-27 iMC 主机 部 署 监控 代理 配置 


(5) iMC 备 机 接收 主机 数据 库 备 份 文件 检查 

检查 一 下 备 机 的 数据 库 是 否 存在 。 

由 于 iMC 主机 是 通过 FTP Put 的 方式 将 数据 库 备份 上 传 至 备 机 ,所 以 首先 应 检查 备 机 的 
FTP Server 程序 工作 是 否 正常 。FTP Server 程序 非 H3C 厂家 产品 ,请 参照 对 应 的 厂家 的 手 
册 进 行 检 查 。 

其 次 还 可 以 在 主机 上 的 命令 行 下 手工 FTP Pu 一 个 已 经 备份 好 的 iMC 数据 库 备份 文件 
来 测试 备 机 的 FTP 服务 是 否 工作 正常 .中间 是 否 有 防火 墙 过 滤 FTP 的 端口 等 。 注 意 如 果 没 
有 问题 请 注意 测试 完成 后 将 对 应 的 FTP Put 到 备 机 上 的 测试 文件 删除 。 

(6) iMC 备 机 自动 还 原 数据 库 检查 

iMC 备 机 部 署 监控 代理 请 重点 检查 如 下 内 容 。 

O 操作 类 型 应 配置 为 “自动 恢复 ”。 

@ 数据 恢复 文件 存放 路 径 应 与 iMC 备 机 FTP 服务 器 的 接 入 文件 目录 一 致 。 

© iMC 备 机 还 原 数据 库 后 将 原始 的 数据 库 备份 文件 保存 在 “文件 备份 路 径 ”" 下 ,该 路 径 必 
须 配 置 为 与 “数据 恢复 文件 存放 路 径 不 一 致 "并 且 应 有 足够 的 磁盘 空间 。 

8-28 所 示 为 iMC 备 机 的 自动 备份 与 恢复 配置 。 
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图 8-28 自动 备份 与 恢复 配置 
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T Izi i 8.1.6 iMC 性 能 管理 
开始 


性 能 管理 特性 主要 对 网 络 环境 进行 监视 ,收集 监视 数据 ,并 提供 灵活 的 .丰富 的 数据 查看 
方式 ,便于 用 户 及 时 掌握 网 络 运行 状况 。 本 流程 主要 详 述 了 性 能 管理 的 配置 过 程 以 及 针对 该 
应 用 中 可 能 出 现 的 问题 做 一 说 明 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

IMC 服务 器 在 网 顺利 运行 的 前 提 之 一 便 是 iMC 服务 器 的 安装 部 署 符合 相关 规范 。 该 过 
程 主要 检查 iMC 服务 器 的 物理 性 能 是 否 足够 承载 相关 业务 ,重要 组 件 是 否 分 布 式 部 署 。 相 关 
部 署 要 求 规范 请 参考 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 》。 

(2) iMC 服务 器 运行 情况 检查 

在 iMC 及 其 组 件 的 部 署 符合 相关 规范 的 前 提 下 ,需要 对 MC 服务 器 的 运行 情况 进行 检 
查 。 该 过 程 检查 服务 器 的 CPU/ 内 存 利 用 率 是 否 正常 ,数据库 运 行 是 否 正常 以 及 iMC 是 否 有 
未 启动 进程 。 

(3) imcperfdm. exe 进程 是 否 启 动 

可 在 服务 器 上 执行 如 下 命令 行 。 


tasklist | findstr imcperfdm. exe, 如 图 8-29 所 示 。 


图 8-29 Æ imcperfdm. exe 进程 是 否 启动 执行 的 命令 
或 者 在 任务 管理 器 中 查看 该 进程 是 否 运行 ,如 图 8-30 所 示 。 


IEO SAO FEV SMW 
应 用 程序 进程 | 服务 |ie | 联网 Ime | 


Im APS 


TE STSTEN 


sss8ss8ssssssssssssssssssss ss 


MEB e ru eE: or F. 2 f £ 
图 8-30 在 任务 管理 器 中 查 imcperfdm. exe 进程 是 否 启动 
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说 明 : 如 果 未 在 任务 管理 器 中 查看 到 相关 进程 ,请 检查 “显示 所 有 用 户 进程 ?是否 义 选 。 


(4) 进程 启动 失败 相关 日 志 收 集 


如 果 imcperfdm. exe 进程 并 未 启动 ,请 收集 \iMCNserver\conf\log 目录 下 imcperfdm JF 


头 的 日 志 并 反馈 。 
(5) 实时 性 能 监视 


实时 性 能 监视 是 采用 折线 图 显示 用 户 指定 的 性 能 监视 项 的 统计 信息 ,并 定时 刷新 界面 显 
示 的 数据 。 实 时 性 能 监视 功能 可 以 帮助 网 络 管理 人 员 了 解 设 备 的 当前 运行 状态 ,以 便于 网 络 
管理 人 员 在 紧急 情况 下 采取 必要 措施 。 相 对 于 V5 版 本 的 iMC,V7 版 本 的 实时 性 能 监控 固定 
采集 间隔 为 5S。 以 端口 输入 /输出 带宽 利用 率 为 例 , 通 过 依次 单 击 “ 资 源 ”" 性 能 管理 ”实时 
性 能 监视 ”命令 ,在 图 8-31 中 填写 相关 信息 , 即 可 完成 一 个 实时 性 能 监控 实例 的 创建 工作 。 


ll 


€ 0 S/imclpert G Lam ` Windows 1 E Í 

E htp //10.153.42.56/imc/perfm/realmoñitor/RealPetGraphPanel xhtml ° — ü 
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由 于 实时 监视 入 消耗 性 能 ， 因 此 系统 限制 每 个 监视 图 最 多 多 许 有 10 个 监视 指标 。 
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OnmanzH iera 
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H3c(10.1534273) — H8[1Ememen0) — 接口 输入 带宽 利用 率 。。 H3C(10 153 4273){ 接 口 EthemetO/0l 接口 输入 带宽 利用 率 
H3C(10.153.4273)  HAC:Ememet00) MORLARHAE  H3C(10.1534273) HRO Ehem RORER RAAE 


图 8-31 实时 性 能 监控 实例 的 创建 工作 
新 创建 的 实时 性 能 监控 实例 效果 如 图 8-32 所 示 。 


N 


DORAE 


° 


H3C(10.153.4273}: 接 口 :Ethemet0/0} 接 口 输入 带宽 利用 率 
- H3C(10 153.42.73):| 接 口 :EthemetO/Ol 接 口 输出 带宽 利用 率 


09:38:00 09:3830 093900 093930 094000 094030 09:4100 09:41:30 


8-32 新 创建 的 实时 性 能 监控 实例 效果 


说 明 : 实时 性 能 监控 的 数据 并 未 写 入 数据 库 ,iMC 前 台 页 面 直 接 从 后 台 读 取 数 据 , 当 该 实 
时 监控 页 面 关闭 之 后 ,所 有 的 实时 监控 数据 将 不 会 保存 ,再 次 打开 时 将 重新 计数 。 
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(6) 确认 待 监 控 性 能 指标 是 否 存在 

进行 性 能 监控 的 前 提 便 是 该 性 能 监控 指标 在 iMC 中 已 经 定义 ,通过 依次 单 击 “资源 ”一 
“性 能 管理 ”>“ 全 局 指标 设置 ", 从 该 页 面 便 可 查看 iMC 已 经 定义 的 性 能 监控 指标 。 

说 明 : IMC 预定 义 性 能 监控 指标 主要 针对 的 是 H3C 设备 ,主要 原因 是 诸多 性 能 监控 指标 
值 均 通过 读 取 MIB oid 获取 , 且 大 部 分 MIB oid 均 为 H3C 私有 MIB。 所 以 再 针对 第 三 方 厂商 
设备 做 性 能 监控 任务 时 须 将 具体 的 监控 指标 反馈 技术 支持 中 心 以 便 确 认 是 否 支持 。 

(7) 添加 自 定 义 性 能 指标 

iMC 针对 第 三 方 厂商 设备 或 H3C 设备 可 能 存在 相关 性 能 监控 指标 未 先 定义 的 情况 ,可 
以 通过 自 定义 性 能 监控 指标 解决 该 问题 。 通 过 依次 单 击 “ 资 源 ”>“ 全 局 指标 设置 ">“ 增 加 自 
定义 性 能 指标 ”命令 来 定义 一 个 新 的 监控 指标 ,如 图 8-33 所 示 。 


E 资源 > 全 局 指标 设置 > nsetti 
| 加 下 X 性 看 标 
- s= 


š TATTA rie iing l egr e r i ndex2IDI2HNAME: 
节点 ，2 员 体 素 引 项 )，TYPE: (1int，2 sting): LENGTH: AIKE. ER 0. 
人 


Be 
EAn roiasc 
Fan, hoger F iame TO inde} Set t: [ndeki] 


2. RUMLAR HAMRELHOD. SARILAR. x Ese. TREH. 
示例 1: 1361212212 
示例 2: 136141201140275212160 


3. Spa na mo RENAME ankas "oca 

表达 式 支持 。 MIB OID. "+". +". =. T. f (小写 

和 da 个 表示 索 诲 间隔 ， 如 下 所 示 : 

TMN: 136121111 表示 站 枯 区 了 MI 吉 从 委 关 性 能 指 村 天 入 位。 

示例 2，1.3.6.1.2.4.11.1-1.3.6.1.2.1.11.1" 表示 获取 MIB 节 点 两 次 轮 馆 盐 伞 做 为 性 能 指标 采集 位 - 

示例 3，(13.6.1.21.11.1-13.6.12.1.11T) 表 示 奖 取 MIB 节 点 再 次 轮 吉 莽 值 并 短 久 轮 询 同 贤 伍 为 性 能 莉 标 采 和 位 - 


请 在 确定 增加 性 能 指标 办 进行 测试 以 保 正 白 定 义 性 能 指标 的 正确 性 - 


指标 各 从 J@ 
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指标 单位 
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图 8-33 定义 一 个 新 的 监控 指标 


自 定义 性 能 监控 指标 的 过 程 也 可 参考 KMS 22253。 

说 明 : 自 定义 性 能 监控 指标 目前 只 支持 MIB 返回 值 为 整 型 的 OID, 查 看 MIB 返回 值 ,可 
以 查看 MIB 定义 文件 ,如 下 为 Base syntax 字段 。 

Name: ifMtu 

Type: OBJECT-TYPE 

CD: 1 

Full path: iso (1). org (3). dod (6). internet (1). mgmt (2). mib-2(1). interfaces (2). 
ifTable(2). ifEntry(1). ifMtu(4) 

Module; IF-MIB 


Parent; ifEntry 
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Prev sibling: ifType 
Next sibling: ifSpeed 


Numerical syntax: Integer (32 bit) 

Base syntax: Integer32 

(8) 性 能 监视 设置 

在 确定 相关 需要 监控 的 性 能 监视 实例 之 后 ,通过 依次 单 击 “ 资 源 ”" 性 能 管理 ”监视 设 
置 ”一 增加 监视 命令 ,就 可 以 对 相关 设备 进行 性 能 监控 ,如 图 8-34 所 示 。 


OF | 


r ma 
mikusa 如 果 不 展开 监视 指标 ， 监 视 指标 下 的 接口 实 鹿 是 否 被 监视 受 监 视 选 硕 设置 的 影响 ; 如果 属 开 监 视 指标 ， 刚 不 要 果 和 内， 选择 的 接口 实例 帮 


8-34 ”相关 设备 的 性 能 监控 


说 明 : 该 处 选择 “监视 设备 ”与 “监视 实例 ”的 区 别 在 于 监视 实例 可 以 选择 监视 的 单个 实 
例 , 而 监视 设备 则 不 支持 选择 监视 的 实例 ,默认 会 将 符合 条 件 的 某 指 标 所 有 实例 都 做 监控 。 

(9) 监视 值 是 否 生成 /正确 

在 成 功 创建 性 能 监控 指标 之 后 , 便 可 查看 该 性 能 监控 指标 对 应 的 值 ,通过 依次 单 击 “ 资 源 ” 一 
“性 能 管理 ”>“ 监 视 设置 "命令 , 单 击 网 功能 按钮 便 可 查看 ,如 图 8-35 所 示 。 
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8-35 ”性 能 监控 指标 对 应 的 值 


也 可 通过 单 击 实例 数 , 来 查看 单个 实例 的 数据 。 
(10) 监视 值 不 准确 相关 定位 信息 收集 
如 果 在 应 用 中 发 现 iMC 性 能 监控 结果 与 设备 上 通过 命令 行 查看 打印 出 来 的 值 偏 差 很 大 ， 
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请 在 iMC 服务 器 抓 取 与 该 设备 的 交互 报 文 10 一 15min, 并 将 iMC 性 能 监控 结果 截图 与 设备 命 
令 行 打印 结果 一 起 反馈 技术 支持 中 心 。 

(11) 相关 指标 阔 值 是 否 合理 

在 IMC 全 局 指标 设置 中 ,针对 每 个 性 能 监控 指标 都 做 了 默认 的 阔 值 设置 。 在 现 网 应 用 
中 ,可 能 出 现 该 指标 不 符合 现 网 要 求 的 情况 .iMC 支持 对 该 指标 阅 值 进行 修改 。 

(12) 指标 阀 值 修改 

指标 阀 值 支持 通过 全 局 和 单个 监控 实例 两 种 方式 进行 修改 。 

全 局 方式 修改 。 依 次 单 击 “ 资 源 ”>“ 全 局 指标 设置 "命令 ,并 双击 对 应 的 监控 指标 , 便 可 进 
行 修改 ,以 CPU 监视 为 例 ,如 图 8-36 所 示 。 


区 资源 > 全 局 指标 设置 


图 8-36 全 局 方式 修改 


单个 监控 实例 修改 。 依 次 单 击 “ 资 源 ”>“ 性 能 管理 ”一 “监视 设置 "命令 ,在 相关 设备 操作 
列 单 击 "修改 属性 ”按钮 , 便 可 进行 修改 ,如 图 8-37 所 示 。 


> voy/dev j zperíMonitorDevielistB -Windows Intenet Explore 
(E httpy//10.153.42.56/imc/perfm/monitor/deviceThresholdConfig jsP’beanName = perfMonitorDevicelist8ean 


CPu 和 用 车 


8-37 ”单个 监控 实例 修改 
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(13) 默认 监视 指标 设置 

默认 监控 指标 是 指 设备 在 加 入 到 iMC 平台 之 后 iMC 自动 对 其 创建 的 性 能 监控 任务 。 
iMC 默认 监控 CPU 利用 率 、 内 存 利用 率 、 设 备 响应 时 间 以 及 设备 不 可 达 性 比例 。 可 以 通过 依 
次 单 击 “ 系 统管 理 ” 一 “系统 配置 "默认 监视 指标 ?命令 来 进行 定义 ,如 图 8-38 所 示 。 


E 条 各 管理 > BURUT 
加 全 部 展开 BSSHA 
"口头 
e — mus — masa EAO 


图 8-38 默认 监视 指标 设置 


(14) 网 络 拓扑 设置 

该 功能 用 于 增加 或 修改 网 络 拓 扑 参 数 以 便 在 自 定义 拓扑 中 可 以 查看 相关 性 能 监控 值 ,可 
以 通过 依次 单 击 “资源 ”- 盖 网 络 拓扑 设置 "命令 来 设置 网 络 拓扑 ,相关 限制 请 参考 联机 帮助 ,如 
图 8-39 所 示 。 
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图 8-39 网 络 拓扑 设置 


(15) 是 否 生 成 性 能 报表 

iMC 支持 将 性 能 监控 结果 通过 报表 的 形式 导出 ,导出 方式 支持 周期 报表 和 手工 下 载 两 
种 ,具体 导出 方式 详 见 (16) 。 

(16) 报表 生成 配置 

周期 报表 方式 。 依 次 单 击 “报表 ”一 “增加 周期 报表 ”命令 , 便 可 增加 对 应 的 周期 报表 ,相关 
信息 请 参考 联机 帮助 ,如 图 8-40 所 示 o 


Der sl em 
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图 8-40 周期 报表 生成 配置 
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手工 导出 方式 。 依 次 单 击 “ 资 源 ”>“ 性 能 管理 ”>“ 性 能 视图 ”命令 , 选 定 对 应 的 性 能 视图 ， 
单 击 “ 报 表 ” 按 钮 便 可 将 报表 生成 导出 ,如 图 8-41 所 示 。 
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MC? A SES 8.1.7 iMC 拓扑 管理 
08 iMC 管理 软件 P 8.1 业务 软件 : iMC i > sen Ó 


1. 拓扑 管理 

iMC 拓扑 用 于 运 维 时 查看 全 网 拓扑 或 自 定义 拓扑 。 

在 该 流程 中 ,将 对 拓扑 管理 中 常见 问题 一 般 为 各 类 标签 或 字体 的 疑问 , 另 一 类 为 链 路 问 
题 ,下 面 将 对 这 两 类 问题 的 排查 流程 进行 说 明 。 

2. 流程 图 相关 操作 说 明 

(1) 发 现 问题 

说 明 : 拓扑 作为 运 维 观察 的 首要 切入 点 ,很 有 可 能 是 最 先 发 现 问题 之 处 ,但 不 是 所 有 在 拓 
扑 上 看 到 的 问题 根源 都 在 拓扑 本 身上 ,本 流程 将 根据 不 同 问题 做 相关 指引 。 

(2) 标签 或 图 示 问 题 

当 出 现 与 正常 不 一 致 的 图 标 或 图 示 及 链 路 颜色 类 型 等 情况 ,应 首先 根据 拓扑 图 示 确 认 该 
提示 的 含义 ,如 图 8-42 所 示 o 


v > à EB) 


8-42 标签 或 图 示 问 题 


单 击 拓扑 上 方 的 红 框 所 示 的 “图 例 ” 按 钮 , 即 可 进行 查看 各 类 图 例 。 

(3) 根据 图 示 对 照 检查 

不 同 的 问题 对 应 不 同 的 检查 方式 ,如 发 现 设备 提示 “?” ,根据 图 例 可 知 为 设备 不 通 , 此 时 应 
在 iMC 服务 器 上 使 用 ping 命令 检查 设备 的 连通 性 。 

如 二 层 链 路 为 虚线 ,应 检查 两 端 链 路 的 邻居 发 现 协议 是 否 正常 及 MAC 学 习 是 否 正常 。 

问题 应 对 症 排查 ,本 文 不 一 一 举例 。 

(4) 参考 其 他 资料 

如 上 文 所 述 ,拓扑 是 发 现 问题 之 处 ,并 不 是 所 有 问题 之 源 。 因 此 对 于 在 本 流程 中 发 现 的 非 
拓扑 问题 ,应 参考 其 他 云图 或 KMS 等 产品 资料 进行 排查 。 

(5) 拓扑 界面 有 乱码 

在 某 些 情况 下 ,可 能 会 出 现 本 应 为 中 文 的 设备 标签 等 信息 变 为 如 图 8-43 所 示 的 乱码 。 
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8-43 ”拓扑 界面 有 乱码 


(6) 检查 拓扑 字体 设置 
此 问题 多 为 拓扑 字体 设置 有 误导 致 ,在 如 图 8-44 所 示 的 界面 中 检查 字体 的 设置 是 否 为 中 


文 , 如 果 不 是 ,将 其 修改 为 系统 字库 中 存在 的 中 文字 体 。 
Bo" 从 ad 加 | 
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8-44 检查 拓扑 字体 设置 


(7) 检查 操作 系统 
如 设置 为 中 文字 体 后 仍 为 乱码 , 则 说 明 系 统 字库 有 问题 ,请 检查 系统 是 否 为 英文 操作 系 


统 , 或 盗版 汉化 不 完整 的 操作 系统 ,或 字库 文件 是 否 存在 。 


(8) 链 路 不 存在 
iMC 拓扑 中 的 链 路 分 为 二 层 链 路 和 三 层 链 路 ,有 不 同 的 识别 方式 ,但 对 于 三 层 链 路 ,可 以 


通过 设置 使 其 通过 二 层 链 路 学 习 进 行 计算 ,一般 用 于 当 三 层 链 路 两 侧 接口 IP 地 址 为 非 30 位 
掩 码 时 使 用 。 


(9) 三 层 链 路 不 存在 ,检查 接口 配置 
三 层 链 路 自动 计算 的 前 提 条 件 是 两 侧 接口 是 PPP 类 型 链 路 或 两 侧 IP 地 址 为 30 位 掩 码 。 
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在 此 步骤 中 ,请 在 iMC 上 检查 链 路 两 侧 的 接口 上 是 否 符合 上 述 条 件 。 

(10) 二 层 链 路 不 存在 ,检查 邻居 学 习 情 况 

二 层 链 路 在 一 般 情况 下 是 通过 LLDP/NDP/CDP 等 邻居 发 现 协议 来 进行 学 习 计算 的 。 
在 此 步 又 中 ,请 在 设备 上 检查 链 路 两 侧 接口 上 是 否 正确 学 习 到 了 对 端的 邻居 关系 。 

(11) 检查 系统 链 路 

当 确 认 以 上 步骤 检查 结果 正常 ,如 果 链 路 仍然 不 存在 ,应 检查 拓扑 的 系统 链 路 中 ,是 否 做 
过 删除 操作 ,如 果 是 , 则 应 如 图 8-45 所 示 操 作 确认 并 将 其 恢复 。 


RREH 
2PfSHEOMEHANM HBG 


Bman | BAER 
Ethemet CSMACD |172.16.100.1- 
[Ethemet CSMACD |55800_Core - 
Ethemet CSMACD |43.58- 55800. 


右 接口 捐 述 
IA Rhine III Fa...| 


172.16.100.1(172.1... |GigabitEtherne. 
S5800_Core(10.15 [GigabitEtnerne. 
f 43 58(10 153 43.58) |intel(R) 82578 
172 16.100.1(172.1...|GigabitEtherne. 


@ 4358(10 1534358) 
S5800_Core(10.15... [GigabitEtherne...| 
S5800_Core(10.45... [GigabitEtherne. 
H3C_Test(172 16.0... |GigabitEtherne... 


8-45 ”检查 系统 链 路 


(12) 检查 二 层 拓 扑 配置 

在 iMC 的 管理 界面 中 , 单 击 “ 系 统管 理 习 系统 配置 一 系统 参数 ”命令 中 ,找到 “二 层 拓扑 配 
置 ”, 可 将 该 选项 中 所 有 项 目 均 配置 为 “是 ”, 并 同步 链 路 两 端 设备 ,等 待 一 段 时 间 观 察 链 路 是 否 
可 以 正常 学 习 。 注 意 : 要 保证 MC 对 设备 有 simp 写 权限 。 

(13) 手动 添加 

在 以 上 检查 未 果 的 情况 下 ,可 能 通过 手动 添加 链 路 来 解决 问题 。 在 手动 添加 的 过 程 中 需 
保证 链 路 和 实际 设备 连接 情况 相符 ,否则 即使 添加 了 链 路 也 无 法 正常 同步 链 路 状态 。 添 加 链 
路 的 操作 如 图 8-46 所 示 。 


TEGE x | REX 
局 户 记 只 时 电导 国 国 国 四 六 NGG 


-选择 接口 
节点 1 
接口 列表 


[cano15343101) 节点 2 


接口 列表 


[zJ 


[2360 3007236930) 


(AuxO InterfaceXN/A) InterfaceXN/A) 


IGigabitEnernet0/0(GigabitElhernet0/0 IntertaceX10 15 
GigabitEthemetO/1(GigabitEthemetor IntertaceXN/A) 
|GigabitEthenet0/2(GigabitEthemet0/2 InterfaceX192 1 
(GigabitEnernet0/3(GigabitEthemet0/3 IntertaceXN/A) 
INULLO(NULLO InterfaceXN/A) 


图 8-46 手动 添加 链 路 


GigabitEthernet0/0(GigabitEthernet0/0 InterfaceX17; 
(GigabitEihemeto/1(GigabitEthernetor InterfaceXN/ 
(GigabitEthemeto/2(GigabitEtherneto/2 InterfaceXN/ 
Cellular0/0(Cellular0/0 IntertaceXN/A) 
Cellular0/1(Cellular0/1 IntertaceXN/A) 
Cellular2/0(Cellular2/0 InterfaceXNIA) 
Serial6/0(Serial6/0 InterfaceX NIA) 


8.1.8 Portal 认证 页 面 无 


Portal 3A TER 14 + 28 ak Fš 排查 


— #*++- t z$ 
===> 表示 上 一 步 结果 内 更 问题 


DNS 相关 
配置 检查 


济 监 路 pertal 页 0 
跳 转 测 诚 


iwc 服 务 器 和 
Portalit £. E 39 portal 配 , 置 
可 这 性 检查 排查 


拨打 热线 
400-310-0504 
EPEA 
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A to Ei. 8.1.8 Portal 认证 页 面 无 y 
08 iMC 管理 软件 8.1 业务 软件 : iMC 法 弹出 故障 排查 步骤 详解 


1. 开始 

Portal 认证 是 一 种 网 页 认证 ,Portal 页 面 重 定向 的 原理 为 : 认证 上 线 的 终端 在 向 外 发 起 
HTTP GET 请 求 时 ,网 关 设 备 会 以 配置 好 的 Portal URL 来 填充 地 址 字段 ,将 该 GET 请 求 重 
定向 到 Portal 服务 器 上 , 转 而 进行 Portal 认证 。 在 使 用 iNode 做 认证 的 场景 ,建议 先 使 用 网 
页 调试 Portal 认证 。 

iMC Portal 认证 网 页 故障 排 错 定位 思路 : 首先 检查 服务 器 软 硬 件 及 性 能 是 否 满足 当前 认 
证 需要 ,然后 从 网 页 上 线 的 现象 来 分 析 , 相 应 做 iMC 服务 器 的 检查 、DNS 服务 器 相关 配置 的 
检查 和 Portal 相关 配置 的 检查 。 

本 文中 举例 组 网 如 图 8-47 所 示 。 


° <ç @ 


认证 终端 PC 认证 设备 H3C iMC 服 务 器 
( 含 UAM 和 Portal) 


图 8-47 组 网 举例 


IP 规划 如 下 。 

认证 终端 PC; 192. 168. 3. 2/24, 网 关 192. 168. 3. 1。 

认证 设备 H3C: VLAN 3:1192. 168. 3.1/24,VLAN 1: 192.168.1.104/24, 

iMC 服务 器 : 192. 168. 1. 211/24, 网 关 192. 168. 1. 104。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规 范 检查 

服务 器 性 能 是 保证 IMC 认证 系统 稳定 运行 的 基本 要 素 , 所 以 排查 问题 时 首先 需要 确认 服 
务 器 软 硬 件 配置 情况 是 否 符合 要 求 。 

请 对 照 《 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 查 询 这 套 iMC 服务 器 对 应 业务 量 的 
配置 需求 。 该 配置 方案 是 我 们 推荐 的 运行 iMC 最 基本 的 部 署 要 求 。 

D 对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、Portal 网 页 在 线 数量 多 ,是 否 根据 (智能 管理 中 心 (iMC) 部 署 和 硬 
件 配置 方案 》 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 。 

重点 需要 检查 内 存 占用 是 否 过 高 ,内存 大 小 是 否 满足 (智能 管理 中 心 iMC) 部 署 和 硬件 配 
置 方案 ) 计 算出 的 要 求 , 操 作 系 统 是 否 是 高 性 能 的 x64 版 本 。 

O 打开 部 署 监控 代理 ,在 部 署 监控 代理 中 查看 部 署 页 面 ,“ 用 户 接 入 管理 ”各 组 件 是 否 是 
已 部 署 的 状态 。 

需要 关注 的 组 件 有 “用 户 接 入 管理 ”和 “Portal 服务 器 ”, 其 状态 都 应 为 “已 部 署 ”, 如 图 8-48 所 示 。 

(2) iMC 服务 器 运行 情况 检查 

查看 “iMC 智能 部 署 监控 代理 ”中 “进程 ”选项 卡 中 是 否 有 未 启动 的 进程 ,各 进程 是 否 正常 
为 “已 经 启动 ”。 
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荐 智能 部 署 监 控 代 理 


ANC PLAT 7.1 (E03. 
i ISP 了 (E0302 
~ ANC UAM 7.1 
0C UAM 7.1 

Ô 用 户 接 入 管理 - FTP 从 服务 器 部 署 在 FTP 服务 器 之 外 的 其 他 服 iNC EIP 7.1 (Fo303) 
LIST - RRES 提供 安全 认证 的 功能 。 iNC UA 7.1 (Fo303) 
外 用 户 接 入 管理 - 第 略 代理 服务 器 。 提供 对 安全 认证 报 文 的 转发 功能 。 — iNC VAN 7.1 (F0303) 
I 用 户 接 入 管理 - 用 户 自助 服务 提供 用 户 资料 的 自助 查询 和 维护 mc VAN T 1 (P0303) 
$ 自主 页 面 定制 feb 服 务 器 提供 一 个 独立 的 Web 容器， 用 于 iNC UAM 7.1 (FO303) 
请 用 户 接 入 管理 - Porta RSS 提供 Portal 认 证 功能 。 iNC UAM 7.1 (F0303) 
O 用 户 接 入 管理 - 第 略 代理 服务 器 — 提供 对 安全 认证 报 文 的 转发 功能 。 ic UAM 7.1 (P0303) 
f$ 自主 页 面 定制 eb 服务 器 提供 一 个 独立 的 veb 容 器 , AF.. uc VAN 7.1 (F0303) 
PYP YT - 安全 策略 管 理 ， 提 供 对 EAD 北 务 的 配置 功能 。 ic EAD 7.1 (E0301) 
f EhD 安 全 第 略 管理 - 桌面 资产 管理 — 提供 对 桌面 资产 业务 的 配置 和 用 .，iNCc EAD 7.1 (E0301) 
f END 安 全 第 轿 管 理 - 点 而 资产 管理 ,.， 提 供 对 点 而 资产 管理 报 文 的 转发 ¿mC EAD 7.1 (E0301) 
S 智能 管理 平台 - 服务 器 资源 管理 — 对 网络 中 的 服务 器 资源 进行 管理 。 iC SSA 7.1 (30 
I 应 用 管理 用 于 监视 不 同 种 类 北 务 的 应 用 程 . ，iWC APH CONFIG T 
9 应 用 管理 服务 用 于 采集 不 同 种 类 业务 的 应 用 程 . iMC APM 7.1 (E0303) 
S 应 用 管理 妥 务 用 和 干 采集 不 同 种 类 首 务 的 应 用 程 INC APN 7 1 (E0303) 
请 选择 组 件 ， 按 下 鼠标 右键 激活 操作 荣 单 > 


图 8-48 iMC 服务 器 安装 部 署 规范 检查 


D 打开 部 署 监控 代理 ,查看 uam. exe, portalserver, webServiceNodel 、webServiceNode2、 
uamjob 进程 是 否 正 常 启 动 。 另 外 ,如 果 是 网 页 Portal 认证 还 需要 确认 Portal 服务 器 上 的 
jserver/webserver 进程 是 否 正常 启动 ,如 图 8-49 所 示 。 


监控 进程 | 部 署 | 运行 环境 | 


进程 状态 üE CPV(%) | 内 存 0m) 启动 时 间 类 型 _ | 启动 模式 

© inc we 已 经 启动 ”本 机 0 7,628 2015-04-01 15:46:02 核心 进程 。” 自动 习 

@ tftpserver. exe 0 14, 772 2015-04-01 15: 可 管理 进程 ”自动 
~ O 26,560 2015-04-03 22:29:29 可 管理 进程 自动 

DO apnserver O 218,424 2015-04-01 15:45:23 可 管理 进程 自动 
© dmserver O 241,1882015-04-01 15:45:37 可 管理 进程 ”自动 
© elat 0 321, 292 2015-04-01 15:45:37 可 管理 进程 ”自动 
O ispserver 0 247, 108 2015-04-01 15:45:37 可 管理 进程 ”自动 
O 332, 192 2015-04-01 15:45:37 可 管理 进程 自动 
0 2, 463, 704 2015-04-01 15:45:37 可 管理 进程 自动 
o 324, 748 2015-04-01 15:45:37 可 管理 进程 ”自动 
LJ webServiceNode H 0 317, 498 2015-03-31 09:47:15 可 管理 进程 自动 
DD webServicelode2 E O  317,644 2015-04-01 15:45:37 可 管理 进程 ”自动 
O _ 315,712 2015-04-01 15:;45:37 可 管理 进程 自动 
O 214, 228 2015-04-01 15:45:37 可 管理 进程 ”自动 
i 好 0 305, 564 2015-04-01 15:46:42 可 管理 进程 自动 
Q nschapv2server 已 经 自动 ”本 机 0 310,872 2015-04-01 15:46:54_ 可 管理 进程 ”自动 
© eipserver 已 经 启动 ”本 机 0 ”280,715 2015-04-01 15:45:37 可 管理 进程 ”自动 
© policyserver 已 经 启动 ”本 机 0 262,016 2015-04-01 15:45:37 可 管理 进程 ”自动 
Q difserver RZB 本 机 0 247,900 2015-04-01 15:45:37 可 管理 进程 ”自动 
© stnserver 已 经 启动 ”本 机 O 252,204 2015-04-01 15:45:37 可 管理 进程 自动 

© amwe 已 经 启动 ”本 机 0 310,648 2015-04-01 15:45:37 可 管理 进程 ”自动 F 

图 8-49 查看 各 进程 是 否 正常 
说 明 : 


(a) 一 般 情 况 下 ,这 些 进程 通过 和 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 
(b) jserver Æ Portal 组 件 集中 式 部 署 时 所 需 关注 的 进程 ; webserver 为 Portal 组 件 分 布 
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式 部 署 时 ,在 从 机 上 需要 确认 的 进程 。 
UDP 端口 是 否 被 uam 相关 进程 所 监听 ,如 图 8-50、 


if indst 


!findstr 1813 


Wsers\Adni ifindstr 50100 
UDP 3.0.0 3100 


Users idministrat I r 58288 
UDP 8.0.8.0:58; 


图 8-50 ”检查 进程 监听 情况 


辣 Yindews 任务 管理 器 


文件 F) | 选 顺 0) gEV 帮助 00 
应 用 程序 进程 | 服务 jue | 联网 | 用 户 | 


[r < 用户 名 [o 内 存 ( [E 
2356 SYSTEM 00 S12 K Windows 命令 处 理 程序 
00 972 K 控制 台 窗 口 主机 

00 89,696 K Java(TM) Platform SE binary 
00 99,056 K Java(TM) Platform SE binary 
控制 台 窗口 主机 


cnd. exe 132 
conhost. exe 2372 
java exe 2400 


javaw exe 2408 


C Microsoft 分 布 式 事务 处 理 协调 器 服务 


Java(TM) Platform SE binary 
Yindows 命令 处 理 程序 


tindo; 任务 管理 加 = 


文件 @) 选项 D) FEV 帮助 00 
应 用 程序 进程 | 服务 。 | 性 能 | 联网 | 用 户 | 
imcqosdm.e. 5608 00 K imcqosdm 


taskngr. exe — 6224 K Windows 任务 管理 器 


imcapnedm 


了 NETWORK SE oo 
java. exe 2488 SYSTEM 00 
cmd.exe #32 2560 SYSTEM 0 


winlogon exe 


Adninistrator 


explorer.exe 10104 Administrator 


图 8-51 进程 查看 


说 明 : 
(a) Windows 操作 系统 中 ,通过 
netstat-aon | findstr :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID。 
举例 : 对 于 命令 提示 符 回 显 , 如 图 8-52 所 示 。 


图 8-52 命令 提示 符 回 显 
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其 中 第 一 列 UDP 所 指 监听 的 协议 ,第 二 列 192. 168. 1. 211:1812 所 指 监听 的 服务 器 的 IP 
和 端口 号 ,第 三 列 * :x 代表 此 行 信息 为 监听 状态 ,最 右 一 列 2456 代表 此 协议 监听 的 进 
程 PID。 

(b) 查 到 端口 所 对 应 的 进程 PID 后 ,请 查看 Windows 任务 管理 器 ,1812/1813 端口 所 对 
应 的 应 为 uam 相关 的 进程 ,50100/50200 所 对 应 的 应 为 java 进程 。 

(3) iMC 服务 器 和 Portal 设备 .终端 可 达 性 检查 

PC 或 手机 浏览 器 输入 Portal URL: http://192. 168. 1. 211:8080/portal ,看 是 否 正常 弹 
出 页 面 ,如 果 正 常 弹出 说 明 网 络 正常 ; 如 果 不 正常 则 需要 排查 网 络 。 

D 网 络 可 达 性 检查 。 在 认证 上 线 之 前 终端 PC 是 可 以 和 Portal 所 在 服务 器 可 达 的 。 分 
别 从 iMC 服务 器 上 ping 接 人 设备 IP, Portal 设备 IP 和 终端 耻 。 对 于 本 文 的 组 网 环境 ,需要 分 
别 测试 192. 168. 3. 2 与 192. 168. 1. 211,192. 168. 3. 1 与 iMC192. 168. 1. 211,192. 168. 1. 104 与 
iMC192. 168. 1. 211 之 间 的 双向 可 达 性 。 

© 检查 服务 器 防火 墙 是 否 关 闭 。 

O 检查 网 络 中 防火 墙 ,终端 到 服务 器 之 间 的 8080 端口 是 否 放 通 。 

(4) DNS 相关 配置 检查 

网 络 调 通 后 ,测试 DNS 相关 配置 是 否 正常 。 

如 果 浏 览 器 输入 普通 URL 比如 www. baidu. com 无 法 弹出 页 面 ,而 输入 任意 IP 地 址 比 
如 1.1.1.1 能够 正常 跳 转 , 说 明 DNS 无 法 正常 解析 URL ,无 法 产生 HTTP 流量 ,导致 设备 不 
能 触发 重 定向 。 此 时 ,看 从 终端 ping DNS 服务 器 的 地 址 通 不 通 , 如 果 DNS 通 说 明 DNS 解析 
有 问题 ; 如 果 DNS 不 通 就 需要 调整 网 络 调 通 。 

O 终端 到 DNS 不 通 , 首 先 检 查 是 否 路 由 可 达 ; 然后 配置 免 认 证 规则 , 放 通 终端 到 DNS 通 
信 , 配 置 命令 为 : portal free-rule 0 source ip any destination ip 8. 8. 8. 8 mask 255. 255. 
255; 255, 

@ 终端 到 DNS 通 但 无 法 解析 : 排查 DNS 服务 器 解析 问题 (比如 ping www. baidu. com 
不 通 ,ping 百度 的 公 网 地 址 能 通 ,说 明 DNS 解析 出 了 问题 ) 。 

如 果 浏 览 器 输入 IP 地 址 1. 1. 1. 1 也 无 法 弹出 页 面 , 则 查看 设备 上 配置 的 Portal URL 是 
否 写 正确 ,不 正确 修改 之 ,正确 则 确认 接口 是 否 启用 Portal, 如 果 已 经 启用 , 则 说 明 设 备 重 定向 
有 问题 ,咨询 设备 侧 。 

[H3C] display current-configuration | include portal serverimc 


portal server imc ip192.168.1.211 key 123 url http: //192.168.1.211:8080/portal 
portal server imc method direct 


说 明 : 

(a) 其 中 imc 为 设备 本 地 有 效 的 Portal 服务 器 名 称 ,192. 168. 1. 211 为 Portal 服务 器 的 
地 址 ,123 为 Portal 设备 和 Portal 服务 器 交互 时 所 用 的 共享 密 钥 ,http://192. 168. 1. 211 
8080/portal 为 Portal 网 页 的 重 定向 URL, 

(b) 对 于 命令 portal server ime method direct ,需要 详细 检查 其 是 否 在 认证 接口 上 启用 。 

(5) Portal 配置 排查 

经 过 以 上 步 又 的 排查 ,一 般 情 况 下 Portal 页 面 都 会 正常 弹出 ,但 有 时 也 会 有 报错 : Portal 
服务 器 获取 不 到 设备 信息 或 设备 没有 回应 req-info 报 文 。 实 际 上 目前 实现 和 发 送 req_info 已 
关系 不 大 ,所 以 出 现 此 错误 基本 可 以 确认 是 根据 用 户 地 址 找 不 到 对 应 Portal 设备 信息 ,如 
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图 8-53 所 示 , 有 可 能 由 以 下 原因 导致 。 


Mozilla Firefox 


文件 日 ”编辑 (日 ESV 历史 (5) 书签 (8) Tm 


Dac x 命 BJhtp 合 -| 图 : 
à 访问 最 多 |) LRS 争 新 手 上 路 = 最 新 头条 


Fort 电 服务 器 获 职 不 到 设备 信息 或 者 设备 设 有 辐 应 req-info 报 文 
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O 用 户 上 线 IP 地 址 没有 包含 在 iMC 的 Portal IP 地 址 组 网 段 中 。 本 案例 用 户 认证 网 段 
为 192. 168. 3. 0/24 ,如 果 终 端 获取 的 地 址 不 在 该 网 段 , 则 无 法 弹出 页 面 , 如 图 8-54 所 示 。 


修改 jp 地 址 组 
IP 地 址 组 名 * 
起 始 地 址 * | 192.168.3.2 
终止 地 址 + | 192.168.3.253 
业务 分 组 + ~ 
闫 型 š ~ 


图 8-54 本 案例 用 户 认证 网 段 


@ 检查 设备 的 sysname 是 否 含有 中 文 或 特殊 字符 。 
@ iMC 没有 配置 端口 组 ,或 者 端口 组 中 引用 的 地 址 组 不 正确 。 本 案例 IP 地 址 组 名 称 为 
vlan3, 如 图 8-55 所 示 。 


修改 英 口 组 信息 

OBS * vlan3 提示 语言 * ` 
Fi + o aran: 

协议 类 型 * HTP ~ 快速 认证 * - 
SENAT* . - meas ç 
认证 方式 + CHAP 认 证 bd IPHS + ` 
心跳 间隔 (分 钟 ) * 0 ORE) * 0 

用 户 域名 Sss 

ESWE += - ==mises °: a ` 
ames - mu urma PHONE - cytest ` 


图 8-55 


本 案例 地 址 组 名 称 
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@ 使 用 移动 终端 等 上 线 ,IP 地 址 经 常 变化 ,而 由 于 Portal 具有 缓存 机 制 ,因此 ,造成 缓存 
中 原 地 址 和 现 有 报 文 头 地 址 不 一 致 (分 别 对 应 私 网 地 址 属性 和 公 网 地 址 属性 ) ,被 识别 为 
NAT, 从 而 无 法 匹配 到 对 应 的 地 址 组 。 此 时 应 清空 浏览 器 缓存 测试 ,如 图 8-56 所 示 。 


Iniemet 运 项 n (A # J 
an [ze [ea |as [zm | 程序 [高 级 _| 


主页 
@ ARURITDARE, IWStrG3ttfrab A eh R o 
http://go.microsoft.com/fwlink/?Linkld=69157 ~ 


[使 用 当前 页 C) | (使 用 默认 值 C) [使 用 空白 页 B) 


浏览 历史 记录 
e ways 文件 、 历史 记录 、Cookie、 保 存 的 密码 和 网 页 


国运 出 时 是 除 浏览 历史 0 孙 Q 


@) 
Siran hiaat aasan 


VlInternet 


(CD 
为 快速 查看 而 保 : ` 图像 和 媒体 的 副本 


| Cookie (0) 
网 站 存储 在 计算 机 上 的 文件 ， 以 保存 如 登录 信息 等 


Eoo 
8-56 ”清空 浏览 器 缓存 测试 


O 配置 台 配 置 没有 生效 , 即 通知 Portal 服务 器 加 载 失 败 ,造成 这 种 情况 原因 可 能 是 
Portal 服务 器 未 正常 启动 或 50900 端口 没有 正常 绑 定 ,可 以 查看 如 图 8-57 所 示 界 面 Portal € 
页 信息 显示 正常 与 否 来 确认 50900 端口 是 否 正常 工作 。 


Portal 服 务 器 配置 
基本 信息 
日 志 级 别 * 信息 ` 
Portal Server 
报 文 请 求 超时 时 长 人) * 4 © 去 生 心 跳 同 隔 时 长 ( 秒 ) * 20 @| 
用 户 心 如 间隔 时 长 分 种 ) * [s © LB 设备 地 址 [ 
Portal Web 
请 求 报 文 超时 8 长 (入) * 15 © 交互 报 文革 号 ®| 
以 验 终 庙 用 户 清 求 报 文 是 $ mis 是 ~ 
HIIP'OBIRIEERSSC mmm >| HTIPSORREEZAS mms - 
https://192.168.1.211:8443/portal/ 
Portal 主 页 


图 8-57 Portal 主页 信息 
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Portal 元， 底 知 认 证 故障 排查 


z$ 


y 表示 上 - 步 结 


---9 表示 上 一步 结果 出 现 问题 
设备 侧 的 
配 站 检查 


£A ;f Portala] R š 
认证 成 功 port 服务 器 


b 


侧 配 置 检查 


Portal ìf a 
组 配 检查 


iwc 服 务 器 远 . 
TÄ% 
TA AE pertal 无 语 知 HTT 


特征 检查 


终 谢 Wc 地 直 
顷 吕 检查 
$ 通 Portali] fa 
AK WE É] HE 拨打 热线 
查 400-310-0504 
4r 
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> AT ie aa i Sapan 8.1.9 Portal 无 感知 F " 
08 iMC 管理 软件 8.1 业务 软件 : iMC 认证 故障 排查 步骤 详解 


1. 开始 

Portal 无 感知 认证 是 一 种 针对 智能 终端 无 须 输 入 用 户 名 和 密码 即 可 上 线 的 认证 过 程 。 
用 户 第 一 次 使 用 智能 终端 时 ,通过 浏览 器 上 网 产生 流量 ,设备 会 重 定向 到 Portal 认证 页 面 。 
用 户 输入 用 户 名 、 密 码 、 服 务 等 信息 后 上 线 , 服 务 器 会 将 认证 信息 以 及 终端 的 MAC 地址 保存 
到 数据 库 中 。 当 用 户 再 次 使 用 该 智能 终端 访问 网 络 产 生 流量 时 ,服务 器 自动 使 用 该 认证 信息 
进行 认证 , 免 去 了 用 户 输入 认证 信息 上 线 的 过 程 。 

Portal 无 感知 认证 排 错 定位 思路 : 首先 检查 服务 器 软 硬 件 及 性 能 是 否 满足 当前 认证 需 
要 ,然后 需要 确保 普通 Portal 网 页 能 正常 上 线 , 相 应 做 iMC 服务 器 的 检查 .Portal 无 感知 相关 
配置 的 检查 和 RADIUS 相关 配置 的 检查 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

需要 对 照 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 》, 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 我 们 推荐 的 运行 iMC 最 基本 的 部 署 要求 ,请 严格 执行 。 

D 对 照 (智能 管理 中 心 iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、Portal 网 页 在 线 数量 多 ,可 考虑 是 否 根 据 ( 智 能 管理 中 心 (iMC) 部 
团 和 硬件 配置 方案 要求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 ,但 重点 需要 检查 内 存 占用 
是 否 过 高 ,内存 大 小 是 否 满足 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 计 算出 的 要 求 , 操 作 
系统 和 数据 库 是 否 为 64 位 ,建议 使 用 64 位 系统 。 

© 单 击 “开始 一 智能 部 署 监控 代理 ”命令 ,选择 “部 署 " 标 签 ,检查 “用 户 接 人 管理 ”功能 模 
块 及 “Portal 服务 器 ”功能 模块 是 否 已 经 部 署 ,如 图 8-58 所 示 。 


D 网 络 流 里 分 析 服务 对 网 络 流量 信息 提供 多 角度 的 统计 分 析 功能 。 inc JE 1 Œ... PBF ER. | 
D 网 络 流量 分 析 服务 对 网 络 流 里 信息 提供 多 角度 的 统计 分 析 功 能 。 ic NTA 7.1 (O... 未 部 署 
I 应 用 管理 用 于 监视 不 同 种 类 业务 的 应 用 程序 和 服务 。 inc an 7 1 (FO CRF ER. 


用 户 接 入 管理 - FIP 服务 器 提供 终端 智能 识别 的 功能 。 iNC EIP 7 1 (FO. 
Ô 用 户 按 入 管理 -ETP 从 服务 器 。 部 署 在 ETP 服 务 器 之 外 的 其 他 服务 器 上 ， 分 担 终 . .。 imC ETP 7 1 0... 未 部 署 

S 用 户 接 入 管理 - 策略 服务 器 “提供 安全 认证 的 功能 。 ic UI 7.1 ŒO... CRF ER 
9 用 户 接 入 管理 - 策略 代理 服务 器 提供 对 安全 认证 报 文 的 转发 功能 。 inc VAN 7.1 (O... CBF ER.. 
I 用 户 接 入 管理 - 用 户 自助 服务 。 提供 用 户 资料 的 自助 查询 和 维护 的 功能 。 ic VAN 7.1 (E0. .已 部 署 ER 
O 用 户 接 入 管理 - 用 户 接 入 管 .部署 在 用 户 接 入 管理 服务 器 之 外 的 其 他 服务 器 上 .imC VAN 7.1 (O... 未 部 署 
乞 自主 页 面 定制 feb 服 务 器 === 用 于 发 布 操作 员 完全 .. sc VAN 7 1 0. .. 已 部 署 


EJN a 
$ FRA ES ER A 


图 8-58 功能 模块 的 部 署 情况 


说 明 : Potal 无 感知 认证 是 基于 EIA 的 Portal 功能 的 延伸 , 故 必须 安装 部 署 EIA 功能 组 
件 及 Portal 服务 器 。 

(2) iMC 服务 器 运行 情况 检查 

Q@ 打开 部 署 监控 代理 ,查看 uam. exe, portalserver, uamjob 进程 是 否 正常 启动 。 由 于 
Portal 无 感知 认证 必须 是 网 页 Portal 认证 , 故 必须 确认 Portal 服务 器 上 的 jserver/webserver 
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进程 正常 启动 ,如 图 8-59 所 示 。 


大 L; 代理 [g 
melee 部 署 | 运行 环境 | 
组 件 名 Ed 版 本 状态 | 部 
S 网 络 流星 分 析 服务 对 网 络 流量 信息 提供 多 角度 的 统计 分 析 功能 。 iMC NTA 7.1 (O. CEF ER. 
š E 提供 多 角度 的 统计 分 析 功能 。 ic NTA 7.1 (EO... 未 部 署 

I 应 用 管理 用 于 监视 不 同 种 类 北 务 的 应 用 程序 和 服务 。 inc Arn 7 1 (0... 已 部 署 主 服 
S 用 户 接 入 管理 - 用 户 接 入 管理 “提供 对 接 入 用 户 、 接 入 业务 的 配置 和 RADTUS 认 证 . ，iWC_ UM 7 1 GO CRN ER 
I 用 户 接 入 管理 - EIF 服 务 器 提供 终端 智能 识别 的 功能 ilC EIP 7.1 Œ0... 已 部 署 ER 
O 用 户 接 入 管理 - EIF 从 服务 器 。 部 署 在 EIF 服 务 器 之 外 的 其 他 服务 器 上 ， 分 担 终 imc EIP 7.1 ŒO... ABR 
S 用 户 接 入 管理 - 策略 服务 器 — 提供 安全 认证 的 功能 iMC VAN 7.1 (E0... 已 部 署 ” 主 服 
$ 用 户 接 入 管理 - 策略 代理 服务 器 提供 对 安全 认证 报 文 的 转发 功能 。 ic VAN 7.1 (O... 已 部 署 ER. 
J 用 户 接 入 管理 - 用 户 自助 服务 ”提供 用 户 资 料 的 自助 查询 和 维护 的 功能 。 inc VAM 7 1 (O. 已 部 署 主 服 
9 用 户 接 入 管理 - 用 户 接 入 管 部 署 在 用 户 接 入 管理 服务 器 之 之 外 的 其 他 服务 器 上 . . uc VAN 7.1 (O... 未 部 署 
$ 自主 页 面 定制 feb 服 务 器 提供 inc VAM 7.1 (O CRE ER. 

用 户 接 入 管理 -Portal 服 务 器 ”提供 inc VAN T1 人 F0. .已 部 署 _ 主 服 
9 用 户 接 入 管理 代理 服务 器 提供 对 安全 认证 报 广 imc Wa 7.1 0. . *8E 


图 8-59 部 署 情况 


说 明 : 

(a) 一 般 情 况 下 ,这些 进 程 通过 和 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 

(b) jserver 是 Portal 组 件 集 中 式 部 署 时 所 需 关 注 的 进程 ; webserver 为 Portal 组 件 分 布 
式 部 署 时 ,在 从 机 上 需要 确认 的 进程 。 

@ 检查 服务 器 1812、1813、50100、50200 UDP 端口 是 否 被 uam 相关 进程 所 监听 ,如 图 8-60 
所 示 。 


-1900.12 


nifind 
16.100.1 


nifindstr :50100 
16 .199.122:58198 


ERtindors 任务 管理 器 
XO 选项 @) FEV HHW 


应 用 程序 进程 | 性 能 | 联网 | 用 户 | 


SYSTEM 


00 Administrator 2; 

18756 00 SYSTEM 309, 

19400 00 SYSTEM 16, 

dit32. exe +32 9404 00 K Administrator 22, 
Everything exe *32 20428 00 Administrator 10, 
imcwipsdn. exe *32 20484 00 SYSTEM 14, 
uan. exe *32 20828 00 K SYSTEM 1, 
tftpserver. exe *32 22232 00 SYSTEM 73 


图 8-60 ”端口 被 uam 相关 进程 监听 情况 
说 明 : 
(a) Windows 操作 系统 中 ， 


netstat-aon | TSIN :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID。 
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举例 : 对 于 命令 提示 符 回 显 , 如 图 8-61 所 示 。 


图 8-61 命令 提示 符 回 显 


其 中 第 一 列 UDP 所 指 监听 的 协议 ,第 二 列 10.153.43.100:1812 所 指 监 听 的 服务 器 的 IP 
和 端口 号 ,第 三 列 *:%* 代表 此 行 信息 为 监听 状态 ,最 右 一 列 8780 代表 此 协议 监听 的 进 
程 PID。 

(b) 查 到 端口 所 对 应 的 进程 PID 后 ,请 查看 Windows 任务 管理 器 ,1812/1813 端口 所 对 
应 的 应 为 uam 相关 的 进程 ,50100/50200 所 对 应 的 为 java 进程 。 

(3) IMC 服务 器 和 Portal 设备 .终端 可 达 性 检查 

Portal 认证 是 对 上 行 流量 的 认证 ,并 且 需 要 和 Portal 服务 器 通信 交互 Portal 报 文 。 对 于 
没有 禁 ping 的 环境 ,在 认证 上 线 之 前 终端 PC 是 可 以 和 Portal 所 在 服务 器 可 达 的 。 分 别 从 
iMC 服务 器 上 ping 接 入 设备 IP、Portal 设备 IP 和 终端 IP。 

(4) 普通 Portal 网 页 认证 可 用 性 检查 

Portal 认证 Portal 在 英语 中 是 入 口 的 意思 。Portal 认证 可 以 使 用 iNode 客户 端 或 Web 
网 页 认证 ,一 般 将 Portal 认证 网 站 称 为 门户 网 站 。 基 本 思想 : 未 认证 用 户 上 网 时 ,认证 设备 会 
强制 用 户 登 录 到 特定 Web 站 点 ,用 户 可 以 免费 访问 该 Web 站 点 的 服务 。 当 用 户 需 要 使 用 互 
联网 中 的 其 他 信息 时 ,必须 在 门户 网 站 进行 认证 ,只 有 认证 通过 后 才 可 以 使 用 互联 网 资源 。 
Portal 业务 可 以 为 客户 提供 方便 的 管理 功能 ,门户 网 站 可 以 开展 广告 .社区 服务 等 个 性 化 业 
务 , 为 了 方便 客户 对 门户 网 站 的 个 性 化 定制 。 

Portal 无 感知 认证 必须 基于 Web 网 页 认证 ,基于 iNode 认证 无 法 实现 Portal 无 感知 , 故 
在 实施 Portal 无 感知 认证 前 ,必须 确保 普通 Portal 网 页 认证 正常 ,再 进行 Portal 无 感知 的 配 
置 。 有 关 普 通 Portal 认证 的 排查 思路 ,请 参考 云图 《UAM Portal 认证 排 错 》。 

(5) 设备 侧 的 配置 检查 

Portal 无 感知 认证 是 一 种 基于 MAC 地 址 的 快速 认证 的 新 机 制 ,除了 iMC EIA 外 ,还 需要 
接 入 设备 支持 ,并 确保 配置 正确 。 

Radius 及 普通 Portal 认证 命令 没有 变化 ,正常 配置 。Portal 无 感知 认证 命令 如 下 。 

O 配置 MAC 绑 定 服务 器 信息 ,并 指定 Portal 服务 器 及 端口 号 。 

<Sysname> system-view 

[Sysname | portal mac-trigger server ip 10. 153. 1. 100 port 50111 

© 配置 MAC 认证 功能 及 触发 MAC 快速 认证 的 阔 值 。 

Interface Vlan3 使 能 Portal 并 且 设 置 MAC 快速 认证 功能 ,流量 探测 周期 为 300 秒 , 流 量 
触发 MAC 快速 认证 的 阀 值 为 10KB。 

<Sysname>œ> system-view 

[Sysname | interface vlan-interface 2 

[Sysname-Vlan-interface2 | portal mac-trigger enable period 300 threshold 10240 

(6) Portal 服务 器 侧 配置 检查 

O 接 人 用 户 服务 检查 。 请 确保 EIA 中 接 人 用 户 关联 的 接 人 服务 都 启用 了 Portal 无 感知 
认证 功能 , 即 接 入 服务 中 要 选中 “Portal 无 感知 认证 ” 单 选 框 ,如 图 8-62 所 示 。 
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QRAF > BARNET > 接 入 服务 管理 > Sis ES 


8-62 ” 接 人 用 户 服务 检查 


@ Portal 端口 组 配置 检查 。 检 查 EIA 中 Portal 端口 组 信息 中 是 否 启用 了 Portal 无 感知 
认证 功能 , 即 端口 组 信息 中 “无 感知 认证 ”选项 为 支持 ”, 如 图 8-63 所 示 o 


DAA > SARENET > Porta 有 服务 管理 > 设备 配合 > AOERSEE > 修改 满口 失信 息 


Eraut | Ip 地 址 组 
请 口 让 把 还 
Fm — E j] swex- 
` pau zm 
cA m 
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@ EIA 中 的 HTTP 特征 库 列表 检查 EIA 中 的 HTTP 特征 库 列 表 检 查 , 如 图 8-64 
所 示 。 
时 me: > Portal 无 后 知 认证 用 户 > 无 感 各 认证 特征 管理 Anem ! 


无 感知 从 证 HTTP 特 征 查询 


HTTP 竺 征 I = [==] 

四 
HTTPN 古 © ms ç na =e 
Android mamomemsumansiewaesi, B â 
Android 1 便 用 各 震 公 司 安生 生动 所作 系统 的 斩 辽 手机 B ê 
Android 1&&HTC 六 达 电 安吉 及 朋 手机 R ê 
Android 1&&HUAWEI 华为 安 章 时 阴 手机 B LI 
Android 1&&LENOVO 联 下 安 二 特 能手 机 B . 


8-64 EIA 中 的 HTTP 特征 库 列 表 检查 


说 明 : 只 有 与 EIA 中 HTTP 特性 相 匹 配 的 终端 才 允 许 进行 Portal 无 感知 认证 ,EIA V7 
版 本 默认 仅 支持 智能 终端 特征 库 , 如 果 需 要 支持 其 他 终端 类 型 ,可 以 按 需 增加 。 
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HTTP 特征 来 自 于 终端 浏览 器 的 HTTP 报 文中 的 “User-Agent” 字 段 内 容 , 可 以 通过 抓 
包工 具 解 析 , 如 图 8-65 所 示 。 


2 
Since: Tue, 18 Sep 2012 01:08:26 @T\r\n 
Connection: Keep-Alive\r\n 
Cookie: JSESSIONID=865431634823E0A1024C56341F7ALESF; JSESSIONIO=-97357692885F10E5F624C2552 
rn 
F773 2 SE 


T o> S1 30 


32 aZ 2 RSS TOR EFT 
49 41 4| 
48 54 


图 8-65 ” 抓 包 工具 解析 
然后 在 EIA 侧 增加 相应 的 HTTP 特征 ,如 图 8-66 所 示 。 


Y i= > Portal 元 ED 用 户 > 元 ES0 认 证 HTTP 竺 征管 理 增加 无 和 知 认证 HTTP 特 征 
| RESAH E 
| 


HTTP 符 征 * Windows @| 


SXESXRAGHITPICEISp TFET : 例 一 ; )000( 例 二 : 000dPOO0 例 三 ; OOX, 


EC 
图 8-66 EIA 侧 增加 相应 HTTP 特征 
如 果 所 有 终端 都 要 实现 Portal 无 感知 认证 , 则 只 要 增加 一 条 HTTP 特征 为 *All” 的 记录 
即 可 ,如 图 8-67 所 示 。 


YAA > Portal 无 感知 认证 用 户 > 无 感知 认证 HTTP 特 征管 理 > 增加 无 感知 认证 HTTP 特 征 


增加 无 感知 认证 HTTP 特 征 


HTTP 特 征 * | All @ 


mit 


图 8-67 增加 “All" 记 录 


@ 终端 MAC 地 址 绑 定 检查 。Portal 无 感知 认证 强 依赖 于 终端 的 MAC 地址 , 故 Portal 
无 感知 认证 的 最 基本 要 求 是 认证 设备 必须 通过 Radius 协议 的 Access-Request 报 文 上 传 终端 
的 MAC 地 址 给 EIA 服务 器 ,才能 完成 账号 和 MAC 地 址 的 绑 定 操作 ,Portal 无 感知 才 会 成 功 
生效 。 有 关 终 端 MAC 地 址 绑 定 失败 的 可 能 性 如 下 。 

(a) 设备 未 上 传 终端 的 MAC 地 址 。 请 检查 现场 组 网 是 否 为 二 层 Portal, 即 Portal 认证 设 
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备 是 否 是 终端 的 网 关 设备 。 三 层 Portal 场景 设备 无 法 上 传 终端 MAC 地 址 ,在 EIA 服务 器 侧 
抓 包 查看 Radius 协议 的 Access-Request 报 文 的 Calling-Station-id 属性 值 为 : 0000-00000- 
00000, 如 图 8-68 所 示 。 


SERERA 
-© 5o 2014-10-31 = 
56 2014-10-31 16:47:39. 539807000 - oasa aasa PADIUS 293 Accouncin 
F Frame. as on wire 
[Š Ethernet 1r, sre; Hangzhou el:ca:be (00:0f:e2:e1:casbe), Dst: Vmvare-f8:ce:cf (00:0c:29:f8:ce:cf) 
Ë Internet Protocol Version 4, src: 10.153.144-118 (10.153.144.118), Ost: 10.153.146.161 (10.153.146.161) 
$ user Datagram Protocol, src Port: 58705 (38705), bst Port: radius (1812) 
E Radius Protocol 
Code: access-Request (1) 
Packet identifier: Ox C1) 
Length: 307 
Authenticator: 30313233343536373839303132333435 


B Attribute value Pairs 
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(b) 设备 上 传 了 终端 MAC 地 址 ,但 账号 和 MAC 地 址 绑 定 失败 。 请 检查 绑 定 的 MAC 地 
址 数 是 否 超出 了 用 户 设 置 的 Portal 无 感知 认证 最 大 绑 定 数 。 请 在 接 和 人 用 户 信息 中 查看 Portal 
无 感知 认证 MAC 地 址 绑 定 信息 及 账号 Portal 无 感知 最 大 绑 定数 如 图 8-69 所 示 。 


wn. 
基本 信息 
meng w ansa < 
inu J 
电子 邮件 nema . 
接 入 信息 
wea w wsus Es 
ferias . Cuncgeresu s 
AARM 2014-12-05 Extreme a 
Es) sama 
28800) &wngmuw 1 
ante TER PertaEEEENGN 远 县 大 全 全 数 1 
n sN 2014-12-05 1034 
登录 提示 信息 
Wamwaxo nenga 
接 入 服务 
Esa Eeg i 
x 
Portal 无 感知 认证 MAC 地 址 绑 定 信息 
ES 名 Macet LJ BATANG 
z 00105C£0F7D9 aa 2014-12-05 152820 


3| 
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ic 服务 器 运行 
IRA 检查 


检查 Me 和 
#k AÉ B 67 
t h WK 5 


拨打 热线 
400-310-0504 
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oa vc 管理 WU 7 
1. 开始 


iMC 强 依赖 后 台数 据 库 ,iMC 后 台所 有 数据 都 存放 在 数据 库 表 项 中 ,包括 SQL 和 
Oracle ,数据库 程序 异常 ,会 直接 影响 iMC 的 正常 运行 及 数据 的 完整 性 。 在 iMC 的 日 常 维护 
过 程 中 ,有 很 多 由 于 数据 库 异常 而 导致 MC 不 可 用 的 经 验 案例 。 

iMC 数据 库 故障 的 定位 思路 : 首先 检查 服务 器 软 硬 件 及 性 能 是 否 满足 当前 需要 ,然后 检 
Æ iMC 相应 进程 运行 及 数据 库 连 接 是 否 正常 ,最 后 检查 数据 库 的 运行 情况 ,包括 数据 库 服 务 、 
连接 参数 、 是 否 在 有 效 期 内 等 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规 范 检查 

需要 对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ), 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 推荐 的 运行 MC 最 基本 的 部 署 要 求 ,请 严格 执行 。 

对 照 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 合 
乎 规格 ,是 否 需 要 分 布 式 部 署 。 重 点 需要 检查 内 存 占用 是 否 过 高 ,内 存 大 小 是 否 满足 (智能 管 
理 中 心 CGiMC) 部 署 和 硬件 配置 方案 》 计 算出 的 要 求 , 操 作 系 统 和 数据 库 是 否 为 64 位 ,建议 使 用 
64 位 系统 。 

(2) iMC 服务 器 运行 状况 检查 

OD 检查 服务 器 当前 操作 系统 版 本 是 否 满足 MC 安装 要 求 。 

@ 检查 当前 操作 系统 是 否 是 正版 。 

@ 检查 服务 器 内 存 CPU 使 用 百分比 是 否 正常 。 

(3) 数据 库 运 行 状况 及 参数 配置 检查 

D 检查 数据 库 服务 是 否 运行 正常 

以 SQL Server 2008 R2 举例 。 

单 击 “ 开 始 菜单 ”一 “程序 ”一 “Microsoft SQL Server 2008 R2” 一 “配置 工具 ”一 “SQL 
Server 配置 管理 器 ”命令 ,在 弹出 如 图 8-70 所 示 对 话 框 中 ,检查 各 服务 的 状态 是 否 “正在 运行 ”。 


SQL Full-text Filter Daemon Launcher isSQLsFRYTR) 正在 运行 = LoeslSysten 


图 8-70 ”检查 数据 库 服务 是 否 运行 正常 


说 明 : 
(a) SQL Server(MSSQLSERVER) 是 SQL 的 最 主要 服务 ,必须 处 于 “正在 运行 ”状态 。 
(b) iMC 要 求 SQL Server(MSSQLSERVER) 服 务必 须 以 LocalSystem 身份 登录 。 


EG: iMC 管理 软件 949 


@ 检查 数据 库 的 相关 参数 配置 是 否 正确 

(a) TCP/IP 参数 检查 

以 SQL Server 2008 R2 举例 。 

单 击 “ 开 始 菜单 ”一 “ 程 序 ” 一 “Microsoft SQL Server 2008 R2” 一 “配置 工具 ”>“SQL 
Server 配置 管理 器 ”命令 ,在 弹出 如 图 8-71 所 示 对 话 框 中 ,选中 左 侧 树 上 的 “SQL Server 网 络 
配置 一 MSSQLSERVER 的 协议 ”, 在 右 侧 界面 中 ,双击 “TCP/IP” 打 开 “TCP/IP 属性 ”配置 对 
话 框 。 


而 Sql Server Configuration Manager 


文件 四 RFA SEV 帮助 0 


e > | @ (@)ə | ° 


全 多 Aa 
SQL Server 服务 Y Shared Memory 已 启用 
日 -用 SQL Server 网 络 配置 loned Pipes 已 禁用 
MSSQLSERVER 的 协议 
由 - 曙 SQL Native Client 10.0 配置 + VI 已 禁用 


8-71 “Sql Server Configuration Manager” 对 话 框 


在 “协议 ”标签 中 确认 “全 部 侦 听 ”为 “是 ”, 如 图 8-72 所 示 。 
在 “IP 地 址 ?标签 下 ,确认 各 个 IP 地 址 下 的 “已 启用 ”为 “是 ”“TCP 端口 (TCP Port)” 为 
“1433”, 如 图 8-73 所 示 。 


192. 168. 20. 105 
1433 

R 

是 


127.0.0.1 


1433 
是 


是 


图 8-72 “协议 ”标签 图 8-73 “IP 地 址 ”标签 


说 明 : 

@ 如 果 前 面 “TCP/IP 属性 ”配置 界面 中 ,没有 将 “全 部 侦 听 (Listen All)” 的 值 改 为 “是 
(Yes)”, 则 在 SQL Server 2008 R2 安装 完成 后 ,如 果 服 务 器 的 IP 地 址 更 改 了 ,必须 重新 进入 
该 配置 窗口 ,将 原来 配置 的 “IP 地 址 (IP Address)” 进 行 更 新 ,否则 无 法 连接 数据 库 。 

@ 同样 方法 确认 Named Pipes 属性 也 被 使 能 。 

@ 在 分 布 式 部 署 场景 中 ,如 果 使 用 了 多 个 数据 库 服务 器 ,各 服务 器 的 监听 端口 必须 
相同 。 
(b) 检查 SQL Server 的 登录 方式 
单 击 “开始 菜单 ”一 “程序 ”一 “Microsoft SQL Server 2008 R2” 一 “配置 工具 ”一 “SQL 
Server 配置 管理 器 ”命令 ,在 如 图 8-74 所 示 对 话 框 中 查看 SQL Server 服务 的 “登录 身份 为 ” 
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列 ,确保 其 值 为 “LocalSystem”。 


sqL Server 服务 25 SQL Server Integration Services 10.0 正在 运行 
SQL Server Browser 
MSSQLSERVER 的 协议 
E SOL Native Client 10.0 配置 (RSSQLSERVER) 已 停止 
iaa SQL Full-text Filter Daemon Launcher QISSQLSERVER) 正在 运行 


8-74 KÆ SQL Server 的 登录 方式 


如 果 当 前 不 是 "LocalSystem” 身 份 登录 ,需要 将 其 改 为 "Local System”。 双 击 该 行 (或 选 
中 该 行 后 , 单 击 工具 栏 中 的 “属性 ”按钮 ), 打 开 “SQL Server 属性 ?配置 对 话 框 , 如 图 8-75 所 
示 , 将 “登录 身份 为 ” 改 为 “内 置 账户 ”中 的 “本 地 系统 (LocalSystem)”。 


8-75 “SQL Server 属性 ”配置 对 话 框 


@ 检查 当前 数据 库 版 本 是 否 存 在 已 知 BUG 

在 KMS 系统 中 搜索 经 验 案例 及 技术 公告 ,排查 当前 数据 库 版 本 是 否 存 在 已 知 BUG, 例 
如 : 之 前 在 某 局 点 碰 到 过 由 于 SQL 已 知 BUG 导致 MC 异常 的 案例 ,产品 线 已 输出 技术 公告 
并 归档 KMS( 关 于 SQL Server 2008 R2 存在 Default 内 存 不 足 而 影响 iMC 正常 运行 的 公告 》。 

(4) 检查 iMC* 智 能 部 署 监 控 代理 ”运行 环境 

单 击 “开始 一 “智能 部 署 监 控 代 理 ” 命 令 ,选择 “运行 环境 ?标签 ,正常 情况 如 图 8-76 所 示 ， 
能 正常 显示 数据 库 空 间 使 用 情况 。 

异常 情况 下 ,查看 “智能 部 署 监控 代理 ”的 “运行 环境 "标签 会 出 现 “ 数 据 库 连接 失败 ,请 检 
查 数据 库 是 否 可 用 ”的 提示 ,如 图 8-77 所 示 。 

(5) 检查 MC 和 数据 库 的 连通 情况 

SQL Server 客户 端 SQL Management Studio 安装 完成 后 ,请 参照 以 下 步骤 测试 与 SQL 
Server 服务 器 的 连接 状况 ,确认 客户 端 和 服务 器 是 否 能 够 正常 连接 。 

D 单 击 系统 “开始 ”一 “运行” 命令 ,在 运行 窗口 中 输入 cmd, 进 入 命令 行 模式 。 

@ 输入 以 下 命令 。 

osql -S172. 8. 9. 63 -Usa -PiMC123 


Er: MC 管理 软件 951 


系统 架构 : madi 

操作 系统 : Windows Server 2012 
操作 系统 版 本 : 6.2 

操作 系统 补丁 : | 
登录 用 户 : Administrator 
服务 器 类 型 : ERSS 
数据 库 : Microsoft SQL Server 
数据 库 版 本 : 11. 00. 3000 
数据 库 服务 器 : 本 机 
数据 库 占用 内 存 : 537 NB 


数据 点 (MB) 


日 志文 件 (MB) Sdh 
osu Ba38o 8 B 883 


con.. iee_db inve.. mon pe. repo.. repo.. via... 


数据 库 


加 已 使 用 各 总 大 小 


DRERHSKE 
DARS: 不 使 用 自动 备份 或 恢复 。 CRE] | sma | | #mam | [| 查看 日志 | 


8-76 ”正常 情况 下 “运行 环境 ”标签 


CELAR] 
FT 
运行 环境 “数据 诛 空间 使 用 一 
L ada 

氮 作 系统 : Tindows Server 2008 

Liu aa 

RfESAQMET: Service Pack 2 

PRAP: Ministrator 


| CE] rena | 
BR: bhate am | omun | amn | mans | 
8-77 异常 情况 下 “运行 环境 ”标签 


其 中 172. 8. 9. 63 为 SQL Server 服务 器 IP 地 址 ,sa 为 默认 超级 用 户 ,iMC123 为 sa 用 户 
的 密码 。 如 果 SQL Server 服务 器 没有 使 用 默认 实例 名 ,还 需要 在 命令 中 指定 实例 名 称 , 命 令 
如 下 。 

osql -S172. 8. 9. 63\instancename -Usa -PiMC123//instancename 为 实例 名 称 。 

© 如 果 能 够 进入 SQL 命令 模式 , 则 表明 能 正常 连接 到 服务 器 ,如 图 8-78 所 示 。 

(6) 检查 数据 库 是 否 长 时 间 处 于 * 正 在 恢复 ”状态 

在 iMC 智能 部 署 监控 代理 中 去 部 署 组 件 时 ,会 提示 是 否 删除 数据 库 。 有 时 候 处 理 不 当 ， 
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图 8-78 SQL 命令 模式 


数据 库 会 删除 不 彻底 ,再 安装 该 组 件 时 iMC 会 报错 。 登 录 SQL Server Management Studio 查 

看 ,该 组 件 的 数据 库 会 处 于 “正在 恢复 ”的 状态 。 影 响 业 务 组 件 的 继续 部 署 。 登 录 SQL Server 

Management Studio, 也 无 法 手工 删除 该 数据 库 时 ,可 用 使 用 如 下 SQL 脚本 进行 数据 库 恢复 。 
DataBaseName 为 修复 的 数据 名 ,如 syslog_db。 


USE MASTER 

GO 

SP_CONFIGURE 'ALLOW UPDATES',1 RECONFIGURE WITH OVERRIDE 
GO 

ALTER DATABASE [DataBaseName] SET EMERGENCY 

GO 

sp_dboption 'DataBaseName', 'single user', 'true'GO 

DBCC CHECKDB( 'DataBaseName', 'REPAIR_ALLOW_DATA_LOSS') 


GO 

ALTER DATABASE [DataBaseName] SET ONLINE 
GO 

sp_configure 'allow updates', 0 reconfigure with override 
GO 


sp_dboption 'DataBaseName', 'single user', 'false'GO 


说 明 : 执行 如 上 SQL 脚本 存在 数据 丢失 的 风险 ,操作 前 一 定 要 知 会 客户 所 存在 的 风险 ， 
建议 客户 寻找 专业 的 数据 库 厂 商 处 理 。 

(7) 检查 数据 库 是 否 处 于 “质疑 "状态 

访问 iMC 的 Web 页 面 提示 连接 不 上 ** 数据 库 , 打 开 部 署 监控 代理 “进程 "查看 对 应 的 进 
程 提 示 “ 进 程 启动 未 知 错误 ”, 以 UBA 组 件 为 例 ,提示 unbaserver 进程 启动 未 知 错误 ,如 图 8-79 
所 示 。 


4, 192 2012-08-22 10:09:58 可 管理 进程 自动 
自动 


O s 已 经 启动 本 机 ° 
dataanalyrer 已 经 启动 本 机 o 45, 076 2012-08-22 10:09:34 可 管理 进程 


Ü jserver Ej 
© portalserver E 本 机 ° 
O vebserviceiodel 已 经 局) 本 机 
© vbsorvicodes F 本 机 ° 
° ° 
© ° 
© ° 


06-22 10:09:34 可 管理 进程 
06-22 10:09:34 本 管理 进程 
08-22 10:09:34 TEDER 自动 
可 管理 进程 自动 
可 管理 进程 自动 


wnjob 已 经 启动 本 机 
schapr2server 已 经 启动 本 机 


图 8-79 unbaserver 进程 启动 未 知 错误 


在 “智能 部 署 监 控 代理 ”的 “运行 环境 ”标签 中 会 提示 “数据 库 连 接 失 败 , 请 检查 数据 库 是 否 
可 用 ”, 如 图 8-80 所 示 。 

单 击 “ 配 置 ”按钮 ,弹出 的 对 话 框 会 提示 连接 不 上 哪些 数据 库 , 具 体 如 图 8-81 所 示 , 对 话 框 
中 会 列 出 异常 的 数据 库 名 称 。 
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图 8-80 “运行 环境 ”标签 中 的 提示 


操作 确认 


e 


881 异常 数据 库 名称 


此 时 ,通过 SQL 客户 端 SQL Server Managment Studio 登录 到 SQL 发 现 对 应 的 数据 库 
被 质疑 ,英文 版 SQL 的 数据 库 会 被 标示 Suspect 字样 ,具体 如 图 8-82 所 示 。 

该 问题 经 常 发 生 在 由 于 硬盘 空间 不 够 或 硬盘 读 写 错误 ,异常 关机 等 原因 导致 SQL 数据 库 
被 质疑 ,解决 方法 如 下 。 

打开 数据 库 里 的 SQL 查询 编辑 器 窗口 ,分 别 执行 如 图 8-83 所 示 的 命令 。 
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图 8-83 在 SQL 查询 编辑 窗口 中 执行 命令 


D 修改 数据 库 为 紧急 模式 。 

ALTER DATABASE unba_slave SET EMERGENCY。 

@ 使 数据 库 变 为 单 用 户 模式 。 

ALTER DATABASE unba_slave SET SINGLE_USER 。 

© 修复 数据 库 日 志 重 新 生成 ,此 命令 检查 的 分 配 ,结构 ,逻辑 完整 性 和 所 有 数据 库 中 的 对 
象 错误 。 当 指定 “REPAIR_ALLOW_DATA_LOSS” 作 为 DBCC CheckDB 命令 参数 ,该 程序 
将 检查 和 修复 报告 的 错误 。 但 是 ,这 些 修 复 可 能 会 导致 一 些 数据 丢失 。 

DBCC CheckDB (unba_slave, REPAIR_ALLOW_DATA_LOSS) 

@ 使 数据 库 变 回 为 多 用 户 模式 。 

ALTER DATABASE unba_slave SET MULTI USER, 
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重启 SQL 进程 ,使 用 SQL Server Managment Studio 登录 数据 库 查 看 对 应 的 进程 是 否 


说 明 : 

(a) 如 果 数 据 量 比较 大 ,这 里 需要 注意 一 下 ,自动 恢复 时 tempdb 数据 库 会 随 着 修复 而 占 
用 磁盘 空间 ,默认 的 tempdb 是 在 系统 盘 , 如 果 系 统 盘 不 够 大 ,就 会 修复 失败 ,这 时 可 以 考虑 将 
tempdb 数据 库 转 移 到 磁盘 空间 较 大 的 磁盘 里 。 

(b) 执行 如 上 SQL 脚本 存在 数据 丢失 的 风险 ,操作 前 一 定 要 知 会 客户 所 存在 的 风险 , 建 
议 客户 寻找 专业 的 数据 库 厂 商 处 理 。 

(8) 检查 数据 库 是 否 处 于 有 效 期 

检查 数据 库 是 否 正版 ,部 分 局 点 使 用 的 SQL Server 为 评估 版 本 ,一 旦 过 了 试用 期 180 天 
后 ,SQL Server 服务 不 能 正常 启动 。 手 工 启动 服务 会 有 如 下 提示 ,错误 代码 : 17051, 如 图 8-84 
所 示 。 


haana =s = 


| 
| 
| Windows 不 能 在 本 地 计算 机 启动 SQL Server (MSSQLSERVER). 有 
| 
| 


关 更 多 信息 , 查阅 系统 事件 日 志 。 如 果 这 旺 非 Microsoft 服务 ， 请 与 服 
务 厂商 联系 ， 并 参考 符 定 服务 错误 代码 17051. 


图 8-84 手工 启动 服务 提示 


解决 方案 是 使 用 正版 密 钥 安装 正式 发 布 版 本 。 

(9) Oracle 数据 库 监听 程序 状态 检查 

Oracle 监听 器 Listener 是 一 个 重要 的 数据 库 服务 器 组 件 ,在 整个 Oracle 体系 结构 中 , 扮 
演 着 重要 的 作用 ,总 结 监听 程序 (Listener) 的 功能 如 下 。 

O 监听 客户 端 请 求 。 监 听 器 运行 在 数据 库 服务 器 之 上 ,与 Oracle 实例 (可 为 多 个 ) 相 关 
联 , 是 一 个 专门 的 进程 (Process) ,在 Windows 的 服务 项 目 或 Linux 的 运行 进程 列表 中 ,都 会 
看 到 对 应 的 运行 进程 。Windows 上 名 为 TNSLSNR,Linux/UNIX 平台 上 是 Lsnrctl。 监 听 器 
守候 在 服务 器 制定 端口 (默认 为 1521) ,监听 客户 端的 请 求 。 

@ 为 客户 端 请 求 分 配 Server Process。 监 听 器 只 负责 接听 请 求 , 之 后 将 请 求 转 接 给 
Oracle Server Process。 在 Oracle 的 服务 模式 下 ,客户 端 进 程 是 不 允许 直接 操作 数据 库 实 例 和 
数据 ,而 是 通过 一 个 服务 进程 Server Process( 也 称 为 影子 进程 ) 作 为 代理 。 监 听 器 接收 到 请 求 
之 后 ,就 向 操作 系统 (或 者 Dispatcher 组 件 ) 要 求 fork( 或 分 配 ) 一 个 Server Process 与 客户 端 
相连 。 

© 注册 实例 服务 。 本 质 上 讲 , Listener 是 建立 实例 和 客户 端 进程 之 间 联 系 的 桥梁 。 
Listener 与 实例 之 间 的 联系 就 是 通过 注册 的 过 程 来 实现 的 。 注 册 的 过 程 就 是 实例 告诉 监听 
器 , 它 的 数据 库 实例 名 称 instance_name 和 服务 名 service_names。 监 听 器 注册 上 这 样 的 信息 ， 
对 客户 端 请 求 根据 监听 注册 信息 ,找到 正确 的 服务 实例 名 称 。 目 前 Oracle 版 本 中 ,提供 动态 
注册 和 静态 注册 两 种 方式 。 

@ 错误 转移 Failover, Failover 是 RAC 容错 的 一 个 重要 方面 的 功能 ,其 功能 是 在 数据 库 
实例 崩溃 的 时 候 , 可 以 自动 将 请 求 转移 到 其 他 可 用 实例 上 的 一 种 功能 。 可 以 提供 很 大 程度 上 
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的 可 用 性 (Availability) 功 能 。 这 个 过 程 中 ,发 现实 例 已 经 崩溃 ,并且 将 请 求 转移 到 其 他 实例 
上 ,就 属于 是 Listener 的 功能 。 

O 负载 均衡 衡量 。 在 RAC 架构 中 ,Oracle 实现 了 负载 均衡 。 当 一 个 客户 请 求 到 来 时 ， 
Oracle 会 根据 当前 RAC 集群 环境 中 所 有 实例 的 负载 情况 , 避 开 负载 较 高 的 实例 ,将 请 求 转移 
到 负载 较 低 的 实例 中 进行 处 理 。 在 早期 RAC 版 本 中 ,负载 轻重 的 衡量 是 根据 监听 器 当前 维 
护 连接 数目 来 确定 的 ,而 不 是 实时 查看 多 实例 的 负载 。RAC 环境 中 的 监听 器 之 间 进 行 沟通 通 
膏 。 一 且 监 听 程序 工作 异常 ,其 他 应 用 程序 将 无 法 正常 访问 Oracle 数据 库 ,Oracle 监听 程序 
的 运行 状态 排查 方法 如 下 。 

(a) 使 用 命令 : lnsrctl service 查看 监听 程序 的 状态 


[root ~] # lsnrctl service 

LSNRCTL for Linux: Version 11.2.0.2.0 - Production on 22-NOV-2012 13:52:11 
Copyright (c) 1991, 2010, Oracle. All rights reserved. 

Connecting to (ADDRESS= (PROTOCOL=tcp)( HOST= X PORT=1521)) 
TNS-12541: TNS:no listener 

TNS-12560: TNS:protocol adapter error 

TNS-00511: No listener 

Linux Error: 111: Connection refused 


(b) 查看 监听 程序 日 志 大 小 


[root] # cd /opt/app/oracle/product/10.2.0/db/network/log 
[root@nicrac log] # du -shlistenner. log 
2.1G listenner. log 


由 于 32 位 Linux 系统 环境 下 ,监听 程序 日 志文 件 (listenner. log) 不 能 超过 2GB, 当 该 文件 
累计 超出 2GB 限制 后 ,将 影响 监听 程序 的 正常 启动 。 解 决 方法 是 将 该 日 志文 件 清空 ,操作 方 
法 如 下 。 


cd/u01/app/oracle/product/10.2.0/db/network/log/ 
cat /dev/null> listener. log 


然后 使 用 命令 lsnrctl start 重启 监听 程序 即 可 。 
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; A TE £f ora EAE N 8.1.11 iNode 安装 运 1 
08 iMC 管理 软件 8.1 业务 软件 : iMC 行 故障 排查 步骤 详解 


1. 开始 

故障 定位 思路 : iNode 作为 一 款 客 户 端 软件 , 适 配 在 各 种 操作 系统 版 本 上 运行 。 在 iNode 
的 安装 与 运行 过 程 中 ,需要 调配 操作 系统 资源 ,调用 操作 系统 API 接口 。 大 部 分 情况 ,系统 环 
境 还 存在 各 种 第 三 方 软件 和 插件 。 因 此 ,在 个 别 终端 上 Node 安装 或 运行 中 遇 到 问题 ,可 以 从 
操作 系统 环境 不 满足 条 件 的 角度 人手 。 如 检查 系统 用 户 权限 .查看 网 卡 驱动 .排查 防 控 软 
件 等 。 

2. 流程 图 相关 操作 说 明 

(1) 操作 系统 环境 检查 

操作 系统 功能 完整 ,系统 用 户 权限 足够 ,是 保证 iNode 安装 运行 正常 的 基本 要 素 。 因 此 
在 安装 前 ,或 安装 运行 中 出 现 问题 故障 时 ,首先 需要 确认 操作 系统 的 基本 环境 是 否 符合 
要 求 。 

O iNode 版 本 说 明 书 中 对 iNode 的 运行 环境 如 下 ,请 根据 iNode 版 本 信息 ,查找 对 应 的 版 
本 说 明 书 。 请 注意 早期 版 本 iNode 不 支持 最 新 的 Windows 操作 系统 。 

© 要 求 以 操作 系统 管理 员 权 限 安装 或 运行 Node。 

@ 不 能 在 中 文 路 径 下 安装 。 检 查 安 装 iNode 的 文件 夹 权限 是 否 正常 ,如 安装 路 径 C NE 
否 有 写 的 权限 。 

说 明 : 举例 iNode 7.1 E0305 的 版 本 说 明 书 如 表 8-1 所 示 。 


表 8-1 iNode 7.1 E0305 版 本 说 明 书 


操作 系统 硬件 要 求 浏览 器 配置 要 求 
Windows XP( 需 要 安装 SP2 或 以 上 补丁 ) 
Windows Server 2003( 需 要 安装 SP2 或 以 上 补丁 ) 
Windows Vista( 需 要 安装 SP1 或 以 上 补丁 ) 
Windows 7 Home Basic( 家 庭 基础 版 ) 


* Windows 7 Home Premium( 家 庭 高 级 版 ) 主 频 1.5GHz( 以 上 ) 

。 Windows 7 Professional( 专 业 版 ) 内 存 512MB( 以 上 ) IE 6.0 SP1 及 以 上 版 本 
。 Windows 7 Enterprise( 企 业 版 ) 硬盘 20GB( 以 上 ) Firefox 3.0 及 以 上 版 本 
* Windows 7 Ultimate( 旗 舰 版 ) 100Mbps 网 卡 ( 以 上 ) 


Windows 8 Professional( 专 业 版 ) 
Windows 8 Enterprise( 企 业 版 ) 
Windows 8. 1 Professional( 专 业 版 ) 
Windows 8.1 Enterprise( 企 业 版 ) 


说 明 : 

(a) 操作 系统 用 户 权限 查看 方法 。 用 管理 员 权 限 打 开 CMD, 通 过 命令 “net user” 查 看 当 
前 计算 机 用 户 的 所 有 系统 用 户 。 使 用 “net user 用 户 名 ”查询 具体 用 户 的 信息 ,关注 该 用 户 是 
否 有 管理 员 权 限 。 若 没有 权限 ,建议 更 换 用 户 登 录 , 或 请 终端 管理 员 帮 助 添 加 权限 ,如 图 8-85 
所 示 。 


b iMC 管理 软件 959 


Administratordnet 
tes 


011 


“dninistrators 
ne 


图 8-85 操作 系统 用 户 权限 查看 方法 


(b) 文件 夹 权限 添加 方法 。 打 开 我 的 电脑 ,在 菜单 栏 中 单 击 “ 工 具 ”>“ 文 件 夹 选项 ”>“ 查 
看 ”一 “使 用 简单 文件 共享 "命令 取消 选中 。 需 要 设置 写 入 权限 的 文件 夹 上 单 击 “ 右 键 ">“ 属 
性 ”一 “安全 ”一 “添加 ”一 “Everyone”“ 选 择 的 相应 的 控制 权限 ”命令 。 具 体 相 关 自 行 查找 
Windows 相关 资料 。 

(2) 网 卡 状态 网 络 协 议 检 查 

iNode 作为 一 款 进行 拨号 上 线 的 客户 端 软件 ,网 卡 的 状态 或 网 卡 驱动 的 工作 情况 非常 影 
响 iNode 的 正常 工作 。 正 常 的 网 卡 应 该 正常 获取 IP, 不 会 显示 故障 状态 ,查询 网 卡 信息 不 会 
报 驱 动 错误 。 

O 通过 单 击 “ 开 始 ”>“ 运 行 ”>“ipconfig /all” 命 令 查看 网 卡 信息 。 在 没有 认证 的 环境 下 
显示 的 网 卡 IP、 网 关 、DNS 是 否 正常 。 使 用 arp -a 的 命令 查看 获取 网 关 的 mac 信息 等 。 检 查 
ping 本 地 IP 是 否 正常 。 使 用 route print 查看 终端 的 路 由 表 ,检查 路 由 情况 。 

O 在 系统 “设备 管理 器 ”中 查看 网 卡 状态 ,如 图 8-86、 图 8-87 所 示 。 

说 明 : 若 iNode 有 定制 客户 端 ACL 和 防 内 网 外 联 功 能 ,网 卡 下 会 存在 iNode 的 驱动 ,如 
图 8-88 所 示 。 

© 单 击 “ 网 络 和 共享 中 心 ”, 在 “本 地 连接 ”里 单 击 “ 属 性 ”按钮 。 可 以 查看 当前 连接 里 的 相 
关 网 络 协 议 是 否 正常 ,如 图 8-89 所 示 。 

说 明 : 网 卡 故障 的 情况 下 ,建议 先 对 网 卡 驱 动 进 行 升级 或 重 装 。 

(3) 安装 包 文 件 检查 

iNode 安装 运行 出 现 问 题 , 也 有 可 能 是 安装 包 不 完整 。 建 议 下 载 或 传输 安装 文件 时 ,最 好 
将 安装 文件 做 成 压缩 包 。 完 整 性 可 以 通过 对 比 文件 大 小 ,或 者 使 用 MD5 校 验 安装 包 的 完 
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图 8-86 在 系统 “设备 管理 器 ”中 查看 网 卡 状态 


家 Intel(R) 82579LM Gigabit Network Connection 
家 Microsoft 6to4 Adapter 

Š Microsoft ISATAP Adapter 

-@ Microsoft ISATAP Adapter #2 

S Microsoft ISATAP Adapter #3 

3 Microsoft ISATAP Adapter #4 

S Microsoft ISATAP Adapter #5 

P Sangfor SSL VPN CS Support System VNIC 
Š SSLVPN Virtual Network Adapter(CS Support) 
字 Teredo Tunneling Pseudo-Interface 

A VMware Virtual Ethernet Adapter for VMnet1 
P VMware Virtual Ethernet Adapter for VMnet8 
S WAN Miniport (IKEv2) 

È WAN RESP) 

E WAN WERP) 

E WAN @EESSLY(L2TP) 

-P WAN AES (PPPOE) 

-@ WAN 微型 闭口 (PPTP) 


图 8-87 查看 网 卡 状态 
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图 8-89 查看 当前 连接 里 的 相关 网 络 协议 


说 明 : MD5 是 一 种 不 可 逆 的 加 密 算法 。 首 先 对 Node 安装 文件 进行 加 密 取 值 。 当 传输 
到 远 端 后 , 远 端 同样 对 Node 安装 文件 进行 MD5 加 密 取 值 。 对 比 两 个 取 值 的 结果 , 若 一 致 则 
可 判断 两 端的 安装 文件 是 一 模 一 样 的 。MD5 检验 工具 下 载 及 具体 使 用 方法 可 以 很 容易 找到 
相关 资料 ,不 做 黄 述 。 

(4) 终端 其 他 软件 状态 检查 

iNode 安装 运行 需要 使 用 操作 系统 资源 。 系 统 资源 有 可 能 被 其 他 软件 独占 甚至 修改 , 则 
iNode 无 法 正常 调用 系统 资源 ,导致 功能 出 现 问题 。 
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D 操作 系统 上 的 软件 种 类 很 多 ,建议 使 用 排除 法 进行 初步 排查 。 常 见 有 可 能 对 iNode 功 
能 有 影响 的 软件 是 终端 防 控 软件 、 系 统 防 火 墙 等 。 可 以 将 这 些 软 件 禁 用 或 关闭 ,观察 对 iNode 
功能 的 影响 。 

@ 部 分 情况 下 ,第 三 方 的 软件 有 可 能 对 iNode 进行 破坏 。 即 使 关闭 或 禁用 第 三 方 软件 ， 
iNode 还 是 无 法 正常 工作 。 这 是 需要 印 载 该 软件 ,并 且 对 Node 进行 修复 或 者 卸载 重 装 。 

说 明 : 极端 情况 下 ,第 三 方 软件 会 对 iNode 做 恶意 注入 ,导致 iNode 部 分 功能 无 法 使 用 。 
可 以 通过 进程 管理 工具 查看 ,iNode 进程 中 调用 的 动态 库 文件 中 是 否 存 在 不 属于 操作 系统 和 
iNode 的 库 文件 。 如 图 8-90 所 示 为 非法 注入 的 文件 。 建 议 禁 用 对 iNode 进行 恶意 破坏 的 第 三 
方 软件 。 


Path: 
C:\Program Files\Node VNode Cient\AuthenMngService.exe 
Command Line: 
“C:\Program Files\Node YNode Cient\AuthenMngService.exe” -startService 


1164 Architecture: 32-bit 
504 Virtualized: n/a 
i: 0 Integrity: 
NT AUTHORITY\SYSTEM 
00000000:000003e7 
2014/8/25 16:03:39 


C:\Program FiesWNode 

C:\WINDOWS\system3 

C:\WINDOWS\system3 ” 
, 


Cowra] 


图 8-90 非法 注入 文件 


(5) VC++ 2005 分 发 包 检查 

在 iNode 重 装 或 升级 过 程 中 ,VC++ 2005 分 发 包 可 能 要 进行 印 载重 装 的 操作 。 已 安装 的 
VC++ 2005 分 发 包 被 未 知 的 原因 损坏 的 情况 下 ,需要 重新 安装 对 其 进行 修复 。 

iNode 在 重新 安装 或 升级 的 过 程 中 有 可 能 出 现 如 下 的 两 个 问题 现象 ,都 是 VC++ 2005 分 
发 包 损 坏 导致 的 问题 ,如 图 8-91、 图 8-92 所 示 。 


EG: MC 管理 软件 963 


iNode Wicrosoft Visual C++ 2005 Redistributable 


The following applications should be closed before 
continuing the install: 


iNode Intelligent Client ~ InstallShield Wizard 


InstallShield 


et a 


FABY: 
[C:\Documents and Settings\z02873\Local : 国 


8-92 VC++ 2005 分 发 包 损坏 导致 问题 二 


解决 方法 : 在 Windows 官方 网 站 上 下 载 对 应 版 本 操作 系统 的 vcredist. msi 文件 ,安装 
修复 。 

说 明 : 在 公司 KMS 案例 库 中 有 处 理 VC++ 2005 异常 的 文档 案例 。 建 议 微软 官网 下 载 对 
应 操作 系统 最 新 的 VC++ 2005 分 发 包 文件 安装 修复 。 

(6) iNode 服务 状态 检查 

iNode 无 法 启动 时 , 若 提示 服务 未 启动 或 获取 不 到 场景 信息 。 可 以 检查 终端 上 iNode 服 
务 的 状态 ,如 图 8-93 所 示 。 

O 查看 服务 中 是 否 有 两 个 iNode Service 服务 , 若 存 在 则 将 多 余 的 一 条 禁用 。 

© 重启 iNode Service 服务 ,设置 该 服务 为 自动 启动 。 

@ 若 服务 无 法 启动 ,可 以 将 iNode 进行 修复 或 重 装 。 

@ 已 知 部 分 防 控 软 件 会 阻止 应 用 程序 的 服务 启动 ,建议 将 终端 安全 软件 禁用 或 关闭 ,或 
者 手动 将 iNode 放 入 安全 软件 的 白 名 单 中 。 

(7) 按照 具体 提示 寻找 处 理 方法 

安装 过 程 或 iNode 使 用 中 报 操作 系统 错误 ,建议 请 咨询 微软 获取 解决 方案 或 检索 类 似 问 
题 现象 进行 处 理 。 例 如 : 下 面 情况 的 处 理 。 

O 提示 操作 系统 错误 “Error 1935. An error occurred during the installation of assembly ... 
Microsoft. VC80. OpenMP, type=" win32" ...”。 请 参考 链接 : http://www. genie9. com/ 
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8-93 ”终端 上 iNode 服务 的 状态 


support/kb/knowledgearticle. aspx?kbid 一 197 。 

© 提示 “由 于 应 用 程序 配置 不 正确 …… ”。 请 参考 链接 : http://jingyan. baidu. com/ 
article/454316abb9e750f7a7c03a2a. html, 

© iNode 提示 ”协议 初始 化 失败 ”。 处 理 方法 为 : 单 击 “ 开 始 ” 按 钮 ,在 开始 搜索 框 中 键入 
cmd, 单 击 “cmd. exe” 按 钮 , 单 击 “ 以 管理 员 身 份 运 行 "按钮 ,然后 单 击 “ 继 续 " 按 钮 。 在 命令 提示 
符 处 键入 netsh winsock reset 或 netsh winsock reset catalog, 然 后 按 Enter 键 ,重启 电脑 。 

@ iNode 提示 “XML 解析 器 初始 化 失败 …… ”。 一 般 是 由 于 操作 系统 的 XML 解析 器 被 
损坏 导致 的 。 可 以 管理 员 权 限 运 行 CMD, 在 其 中 执行 “regsvr32 /u msxml4. dll” 和 “regsvr32 
msxml4. dllj”。 若 还 不 行 , 则 建议 在 微软 官网 上 下 载 msxml. msi, 重 装 进行 修复 。 


8.1.12 WSM 无 法 识 
08 iMC 管理 软件 8.1 业务 软件 : iMC 别 或 同步 AC 
故障 排查 


y 衣 示 上 一步 结果 王 刘 


---y 志 示 上 一 步 结果 出 现 问 是 


根据 不 同 故障 
现 紧 收集 wsm 
i 后 台 日 起， 


EE wsm% 
配套 


imc PLATE GHK 
至 52 401H3 及 以 后 3 
R F 拨打 热线 


400-310-0504 
寻 太 帮助 
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1. 开始 


WLAN( Wireless Local Area Network ,无 线 局 域 网 ) 是 计算 机 网 络 与 无 线 通 信 技 术 相 结 
合 的 产物 。 由 于 WLAN 在 部 署 时 不 需要 考虑 复杂 的 布线 ,优化 和 变迁 ,因此 WLAN 系统 便 
于 搭建 和 使 用 ,具有 安装 便捷 、 高 移动 性 和 易 扩 展 等 特点 ,所 以 其 应 用 越 来 越 广泛 。 

WSM( Wireless Service Manager) 是 以 iMC 平台 为 基础 的 无 线 服务 管理 系统 ,WSM 结合 
iMC 智能 管理 平台 ,为 WLAN 管理 提供 了 一 个 完善 的 解决 方案 。 其 中 智能 管理 平台 提供 了 
通用 的 网 络 管理 功能 ,WSM 则 提供 了 无 线 设备 相关 的 管理 功能 。 

WSM 管理 无 线 设备 流程 : 按照 常规 在 MC 平台 网 管 中 通 过 SNMP 协议 添加 设备 后 ， 
WSM 组 件 的 资源 管理 中 将 自动 出 现 无 线 设备 ,不 需要 重复 添加 。WSM 可 以 自动 从 平台 网 管 
中 已 存 在 的 设备 中 发 现 并 识别 无 线 设备 ,包括 AC、FAT AP 和 FIT AP, WSM 通过 设备 MIB 
识别 该 设备 是 否 是 无 线 设备 ,具体 来 说 要 求 设备 支持 无 线 网 管 MIB 集 。WSM 通过 私有 MIB 
实现 对 我 司 无 线 设备 的 网 管 。WSM 并 不 直接 与 FIT AP 交互 ,而 是 通过 读 取 无 线 控制 器 AC 
的 MIB 信息 获取 其 下 挂 的 FIT AP 信息 实现 对 FIT AP 的 管理 。 因 此 ,WSM 要 管理 无 线 设 
备 , 成 功 添加 并 识别 AC 或 成 功 同步 AC 是 重要 的 一 步 。 

2, 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

需要 对 照 (智能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 》, 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 推荐 的 运行 MC 最 基本 的 部 署 要 求 ,请 严格 执行 。 

D 对 照 ( 智 能 管理 中 心 CGiMC) 部 署 和 硬件 配置 方案 》 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 , 当 网 络 中 管理 的 AP 数量 较 多 , 需 考虑 是 否 根据 (智能 管理 中 心 (iMC) 部 署 和 硬件 
配置 方案 ) 要 求 将 WSM 组 件 分 布 式 部 署 在 了 性 能 良好 的 服务 器 上 ,重点 需要 检查 内 存 占用 是 
否 过 高 ,内 存 大 小 是 否 满足 智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 》 计 算出 的 要 求 ,操作 系 
统 和 数据 库 是 否 为 64 位 ,建议 使 用 64 位 系统 。 

© 单 击 * 开 始 ” 一 “智能 部 署 监 控 代 理 ” 命 令 ,选择 “部 署 " 标 签 ,检查 “无 线 业 务 管理 ”功能 
模块 是 否 已 经 部 署 ,如 图 8-94 所 示 。 

(2) iMC 服务 器 运行 情况 检查 

打开 部 署 监控 代理 ,查看 jserver imcnetresdm ,imcwlandm 进程 是 否 正常 启动 ,如 图 8-95 
所 示 。 

说 明 : 一 般 情况 下 ,这 些 进程 通过 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 

如 果 无 线 进程 imcwlandm 启动 失败 ,需要 找到 iMC\server\conf\log\imcwlandm. log 日 
志 , 查 看 最 后 一 行 ,一 般 可 能 有 如 下 几 种 情况 。 

O 如 果 日 志 中 出 现 “Initialize process enviorment failed. ”就 是 说 明 有 其 他 进程 占用 了 进 
程 端 口 。 检 查 服 务 器 8080.9091.161.162.61616.61626 等 端口 是 否 被 iMC 相关 进程 所 监听 ， 
如 图 8-96 所 示 。 


8.1.12 WSM 无 法 识 
别 或 同步 AC 
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I 智能 管理 平台 - 资源 管理 对 网 络 中 的 路 由 器 、 交 换 机 等 各 类. imC FLAT 7.1 (E0303F06) 已 部 署 。 主 服务 器 到 
J 智 月 管理 平台 - 告警 管理 对 网 络 进行 故障 监 注 ， 及 时 分 析 排 .iNC PLAT 7.1 (E0303F06) 已 部 署 。” 主 服务 器 
S 智能 管理 平台 - 用 户 自助 服务 管理 。 ”对 ilC 的 各 种 自助 业务 提供 统一 管理 。 im PLAT 7 1 人 E0303F06) 已 部 署 。 主 服务 器 
$ 智能 管理 平台 - 来 宾 接 入 管理 对 来 宾 账 号 进行 全 面 、 知 能、 安全. iC PLAT 7 1 (E0303F06) 已 部 署 — 主 服 务 器 
S 智能 管理 平台 - 智能 配置 中 心 对 网络 设备 进行 软件 升级 、 设 备 配 .. ，ic PLAT 7 1 人 E0303F06) 已 部 署 。 主 服务 器 
S 智能 管理 平台 - 报表 管理 提供 各 类 业务 报表 的 发 布 、 展 示 和 . . ，iC PLAT 7.1 (E0303P06) 已 部 署 — 主 服务 器 
S 智能 管理 平台 - 网 元 管理 提供 对 数据 通信 设备 如 以 太 网 交换 iMC PLAT 7.1 (E0303F06) 已 部 署 — 主 服务 器 
S 智能 管理 平台 - 性 能 管理 对 网 络 进行 性 能 监控 分 析 。 imC PLAT 7.1 全 0303F06) 已 部 署 。 主 服务 器 
f$ 智能 管理 平台 - NER 对 设备 进行 MI 配置， 实现 网 络 堵 . . 。 iMC PLAT 7.1 (E0303F06) 已 部 署 — 主 服务 器 
J 智能 管理 平台 - 网 络 资产 管理 对 网 络 中 的 设备 及 其 配件 资产 进行 ，imc PLAT 7 1 (0303F06) 已 部 署 。 主 服务 器 

| I 智能 管理 平台 - 安全 控制 中 心 监控 网 络 中 的 各 种 事件 ， 提 供 安全 .  ，imc PLAT 7 1 (E0303F06) 已 部 署 。 主 服 务 器 
时 智能 管理 平台 - 通用 搜索 服务 管理 — 对 ic 的 通用 搜索 业务 提供 统一 管理 。 mC PLAT 7.1 (E0303F06) 已 部 署 — 主 服务 器 

| I 智能 管理 平台 - sysloe 管 理 对 设备 Syslog 进 行 收集 、 ie. 3. . iWC PLAT 7.1 人 E0303F06) CAF — 主 服务 器 
$ ic PLAT 7.1 Œ0303P06) 已 部 署 


网 络 中 YLAN 资 源 进行 管理 。 


对 


Jinc wsm 7.1 (E0303P01) 


用 于 监视 不 同 种 类 北 务 的 应 用 程序 ，iC_APW 7.1 (E0301) 已 部 署 
分 支 网 点 管理 - 分 支 网 点 管理 对 网 络 中 的 TR-069 设 备 进行 管理 。 — inc BINS 7.1 Œ0301) 已 部 署 。 主 服务 器 
分 支 网 点 管理 - 自动 配置 服务 器 与 网 络 中 的 TR-089 设 备 进行 交互 ，.. ，iMC BINS 7.1 Œ0301) EWF 。 主 服务 器 
分 支 网 点 管理 - 移动 分 支管 理 提供 对 移动 分 支 设 备 和 北 务 的 管理 。 imC BTWS 7.1 Œ0301) 已 部 署 — 主 服务 器 司 


请 选择 组 件 ， 按 下 限 标 右键 激活 操作 荣 单 。 
图 8-94 “无 线 业 务 管理 ”功能 模块 部 署 情况 


waaa 


而 


i 进程 | 部 团 | 


—— exe 


imempl svpndn. exe 25, 420 2015-05-04 09:09:19 
62, 012 2015-05-04 09:10:21 
imcperfdm. exe 28, 320 2015-05-04 09:10:21 


0 
0 
o 
0 
0 
$ 0 
imcqosdn exe 已 经 启动 本 机 0 20,584 2015-05-04 09:10:21 ”可 管理 进程 ” 自动 
0 
o 
0 
0 
0 
0 


imenetresdm exe 


° 

D 

5 

0 

Dinesyslogtn. exe 已 经 启动 本 机 16,844 2015-05-04 09:09:07 ”可 管理 进程 ” 自动 
O inctedn exe 已 经 启动 本 机 19,060 2015-05-04 09:09:20 ”可 管理 进程 — 自动 
o 
0 
o 
Q 


imeupgdn. exe 已 经 启动 ” 本 机 21, 932 2015-05-04 09:10:21 可 管理 进程 ”自动 
21,212 2015-05-04 09:10:21 ”可 管理 进程 — 自动 
30, 464 2015-05-04 09:11:06 ”可 管理 进程 — 自动 


imcvlandn exe 已 经 启动 本 机 
imevnmdm exe 已 经 启动 本 机 


imcwipsdm exe 


imcwlanperfdm. exe 0 32, 452 2015-05-04 09:10:52 Ë. 
Q inz exe 已 经 启动 本 机 0 9,044 2015-05-04 09:08:55 n 自动 
© ispserver 有 0 346, 352 2015-05-04 09:07:05 ”可 管 理 进程 ” 自动 


| 
479, 092 2015-05-04 09:07:05 。 可 管理 进程 。 自动 
348, 576 2015-05-04 09:08:04 可 管理 进程 ” 自动 
477, 816 2015-05-04 09:06:04 可 管理 进程 。” 自动 
78, 284 2015-05-04 09:09:17 ”可 管理 进程 ” 自动 到 


D 已 经 自动。 本 机 
© policyserver 已 经 启动 本 机 
© portalserver 已 经 启动 本 机 
O processor. exe 已 经 自动 本 机 


mschapv2server 


olololo 


图 8-95 ”查看 进程 是 否 正常 启动 
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图 8-96 ”端口 被 iMC 相关 进程 监听 情况 


说 明 : 
(a) Windows 操作 系统 中 ,通过 
netstat -aon | findstr :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID。 
举例 ; 对 于 命令 提示 符 回 显 , 如 图 8-97 所 示 。 


findstr 9091 
LISTENING 


LISTENING 


图 8-97 命令 提示 符 回 显 


其 中 第 一 列 TCP 所 指 监听 的 协议 ,第 二 列 0.0.0.0:9091 所 指 监听 的 服务 器 的 IP 和 端口 号 ， 
第 三 列 LISTENING 代表 此 行 信息 为 监听 状态 ,最 右 一 列 21580 代表 此 协议 监听 的 进程 PID。 

(b) 查 到 端口 所 对 应 的 进程 PID 后 ,请 查看 Windows 任务 管理 器 ,9091 端口 所 对 应 的 应 
为 jserver 相关 的 进程 ,61616/61626 所 对 应 的 为 部 署 监 控 代 理 相 关 进 程 。 

© 如 果 日 志 中 出 现 CWlanDBOper: :getWlanDataDB error, db opt error! ! ,这 个 错误 表 
示 启 动 查 表 时 失败 ,看 这 条 语句 的 前 三 行 ,分 析 SQL 语句 是 哪 种 错误 。 分 析 不 明白 的 需要 拨 
打 400 电话 寻求 技术 支持 。 

© 有 一 种 情况 只 针对 Linux 的 环境 ,如 果 出 现 imcwlandm 进程 启动 失败 ,并 且 没有 无 线 
后 台 日 志 。 这 时 候 需 要 在 shell 中 执行 启动 脚本 .看 一 下 具体 失败 原因 。 在 WSM 7. 0 
E0202P03 及 之 后 版 本 ,在 iMC/server/bin 文件 夹 下 都 有 一 个 start_wlan. sh 文件 。 没 有 的 
话 , 可 以 通过 使 用 这 里 提供 的 start_wlan. sh 文件 ,在 当前 目录 中 执行 . /start_wlan. sh 命令 。 

示例 : 使 用 start_wlan. sh 脚本 启动 时 ,显示 load libfreebl3. so 错误 ,缺少 这 个 文件 。 解 
决 办 法 就 是 从 正常 的 Linux 机 器 中 ,/usr/lib/ 目 录 下 拷贝 libfreebl3. so 文件 到 该 局 点 Linux 
相同 目录 下 。 

(3) 检查 AC 的 型 号 是 否 在 WSM 版 本 说 明 书 的 设备 配套 列表 中 

在 添加 AC 时 ,首先 确认 在 WSM 版 本 说 明 书 的 设备 配套 列表 中 是 否 包含 此 AC 型 号 。 
如 果 不 包含 , 需 选 择 合适 的 WSM 版 本 。 如 果 包 含 此 型 号 AC ,添加 后 WSM 仍 无 法 识别 , 需 按 
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照 后 续 章 节 继 续 排查 。 

(4) iMC PLAT 是 否 升级 至 5.2 E0401H03 及 以 后 版 本 

iMC PLAT 5.2 E0401 版 本 和 WSM 配合 时 ,对 部 分 AC 型 号 识别 的 不 是 很 好 ,可 能 会 出 
现在 iMC 中 添加 了 AC 但 无 法 识别 为 无 线 设备 或 WSM 无 法 识别 的 情况 。 这 时 需要 将 PLAT 
升级 至 5.2 E0401H03 及 以 后 版 本 ,删除 并 重新 添加 AC, 能 使 AC 得 到 更 好 的 识别 。 如 果 升 
级 后 AC 仍 无 法 识别 , 需 按 照 后 续 章 节 继 续 排 查 。 

(5) 根据 不 同 故障 现象 收集 WSM 后 台 日 志 

对 于 WSM 无 法 识别 /同步 AC 的 故障 ,一 般 都 需要 分 析 日 志 来 确定 具体 原因 。 一 般 
debug 级 别 日 志 包 含 的 信息 更 多 ,收集 方法 如 下 。 

在 C:\Program Files\iMC\server\conf 目录 下 打开 qvdm. conf 文件 ,修改 其 中 字段 。 


# setting log level (DEBUG, INFO, WARNING, ERROR, FATAL) 
LogLevel = INFO // 该 处 将 INFO 修改 为 DEBUG ,问题 解决 后 改 回 INFO 
# setting log expire (its unit is day) 
LogExpire = 15 


重启 如 图 8-98 所 示 进 程 : imcwlandm. exe。 


#& 智能 部 署 监 控 代 理 [=I] 


0 20, 056 2015-05-04 09:09:21 本 管理 进程 — 自动 
0 19, 300 2015-05-04 09:09:12 本 管理 进程 ” 自动 
0 31,064 2015-05-04 09:10:52 ”可 管理 进程 — 自动 
0 25, 420 2015-05-04 09:09:19 ”可 管理 进程 — 自动 
0 61,968 2015-05-04 09:10:21 ”可 管理 进程 ”自动 
0 28,344 2015-05-04 09:10:21 可 管理 进程 — 自动 
imcqosda.exe 已 经 自动。 本 机 0 20, 584 2015-05-04 09:10:21 ”本 管理 进程 — 自动 
0 
0 
0 
0 
0 
n 


imcl2vpndm. exe 已 经 启动 本 机 
inclocatedm. exe 已 经 启动 本 机 
imcnplsdn. exe 已 经 启动 本 机 
las. exe PRRD = WL 
iecaetresda. exe ”已 经 启动 本 机 
imcperfdm. exe 已 经 启动 本 机 


16,844 2015-05-04 09:09:07 ”可 管理 进程 ”自动 
19,060 2015-05-04 09:09:20 本 管理 进程 — 自动 
21, 932 2015-05-04 09:10;21 ”可 管理 进程 — 自动 
21,212 2015-05-04 09:10:21 ”可 管理 进程 ”自动 
30, 464 2015-05-04 09:11:06 ”可 管理 进程 ” 自动 


imesyslogdn exe ”已 经 启动 ”本 机 
inctedn. exe 已 经 启动 本 机 
imcupeda. exe 已 经 启动 本 机 
inevlendn, oxe 已 经 启动 本 机 
imcvnndn. exe 已 经 启动 本 机 


img exe 已 经 启动 本 机 


ispserver 已 经 启动 本 机 346, 352 2015-05-04 09:07;05 ”可 管理 进程 ” 自动 
jserver 已 经 启动 本 机 10.35 2,912,016 2015-05-05 09:26:41 。 可 管理 进程 ” 自动 


479,092 2015-05-04 09:07:05 ”可 管理 进程 ” 自动 
348, 576 2015-05-04 09:08:04 ”可 管理 进程 ” 自动 
TT, 876 2015-05-04 09:08:04 ”可 管理 进程 ” 自动 
78, 116 2015-05-04 09:09:17 ”可 管理 进程 ”自动 


mschapv2server 已 经 启动 本 机 
policyserver 已 经 启动 本 机 
portelserver 已 经 启动 本 机 
processor, exe BAD $N 


olclcljcl8lclocla 


ww uku 


图 8-98 重启 imcwlandm. exe 进程 


收集 C:\Program Files\iMC\server\conf\log\imewlandm. yyyy-mm-dd. txt 日 志 。 

相关 操作 过 程 的 描述 以 及 该 过 程 的 抓 包 。 

相关 问题 截图 。 

反馈 iMC 以 及 WSM 版 本 信息 。 

设备 _display version 和 display cu 的 配置 信息 。 

数据 库 信息 的 收集 ,查看 config_db 这 个 数据 库 的 tbl_dev 表 , 根 据 ip 可 以 查 到 AC 的 
dev_id. 这 些 都 可 以 作为 查找 具体 AC 同步 失败 或 失败 原因 的 依据 ,如 图 8-99 所 示 。 
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— = „dev gpd | Tir de ip mask | append un 
| 54 10354 255.0.0.0 
图 8-99 数据 库 


对 于 不 同 的 故障 现象 ,收集 日 志 时 的 注意 事项 如 下 。 

O AC 在 PLAT 中 添加 后 ,没有 被 平台 识别 为 无 线 设 备 。 在 平台 资源 的 设备 视图 下 , 单 
击 同步 AC, 约 十 分 钟 左 右 ,在 后 台 日 志 中 搜索 pVendorDev— get WlanData error. It’s not an 
AC device maybe. 或 者 dealAddNewDev error. 当 出 现 这 些 信息 时 才 表 示 同 步 失败 ,可 以 收集 
日 志 ,不 然 无 法 判断 原因 。 

© AC Æ PLAT 中 添加 后 ,被 识别 为 无 线 设备 ,但 WSM 中 无 法 识别 。 收 集 日 志 的 方式 
同 中 一 样 。 

@ AC 在 PLAT 中 添加 后 ,被 识别 为 无 线 设备 ,在 WSM 中 可 以 识别 ,但 在 WSM 中 同步 
AC 失败。 在 WSM 的 AC 列表 中 , 单 击 同步 后 ,十 分 钟 左右 , 先 在 后 台 日 志 中 搜索 
pVendorDev—>getWlanData error. Is not an AC device maybe. 如 果 搜 索 不 到 ,可 以 搜索 
CWlanDBOper: :updateWlanDataDB error, 这 个 表示 数据 库 更 新 失败 。 通 过 日 志 分 析 , 一 般 
问题 出 现在 以 上 关键 字 的 前 三 行内 。 

(6) 根据 日 志 分 析 故 障 的 具体 原因 

根据 不 同 的 现象 收集 完 WSM 后 台 debug 日 志和 抓 包 后 ,可 以 根据 日 志 内 容 分 析 故 障 的 
具体 原因 。 对 于 可 能 出 现 的 故障 日 志 及 原因 ,分 类 如 下 。 

O 请 求 超时 。 在 日 志 中 ,如 果 在 关键 字 前 三 行内 出 现 “time out...” 时 ,表示 WSM 在 同步 
AC 请 求 get 某 mib 节点 时 ,出 现 了 超时 。 这 种 情况 下 ,需要 按照 以 下 步 又 排查 。 

(a) 调整 SNMP 参数 。 先 建议 现场 增加 SNMP 的 超时 时 间 , 并 且 把 SNMP 版 本 调 为 
V1, 然 后 尝试 同步 看 是 否 能 够 成 功 。 

(b) 如 果 仍 然 无 法 同步 成 功 , 就 需要 拨打 400 电话 寻求 技术 支持 ,由 二 线 查 看 后 台 日 志 ， 
找到 出 现 time out 时 WSM 在 获取 设备 的 什么 内 容 , 然 后 找 出 这 些 mib 节点 ,在 抓 包 中 搜索 这 些 
节点 ,找到 抓 包 中 出 现 的 位 置 ,由 设备 侧 进行 定位 ,为何 设备 响应 超时 。 示 例如 图 8-100 所 示 。 


BR ap REEEHAE, SRESER. 


MARAEA MORA, f pippa BA, BR a 请求 一 次 ,并 请 本 次， 设备 一 直 没 有 回应， 最 后 从 为 要 计 ， 导 到 同上 失 风 ， 
1A64..1.2011102.95.4 3.1 1.2.14.53 9 00.10045.5548.57.56.45 5558 5248 


10.235.233.41 


= 
Ty — 


EEEE 


图 8-100 日 志 请 求 超时 


@ 非 正常 结束 错误 。 当 日 志 中 出 现 “Abnormal ending when reading a table. Commit 
SNMP operation error. ”时 ,表示 此 时 在 获取 该 节点 时 ,出 现 了 请 求 OID 和 设备 返回 OID 不 
对 称 的 现象 ,这 种 情况 下 需要 提供 WSM 的 DEBUG 日 志 以 及 抓 包 , 然 后 找到 这 个 节点 并 在 抓 
包 中 找到 。 示 例如 图 8-101 所 示 。 

具体 看 红色 文字 部 分 ,WSM 请 求 的 OID thedef oid is: 1. 3. 6. 1. 4. 1. 25506. 2. 75. 3. 1.1.1.2， 
设备 返回 的 OID the dev oid is:1. 3. 6. 1. 4. 1. 25506. 2.75.3.1.1.1.3.0.7.168.67.20.198。 比 较 
明显 两 个 OID 不一致 ,WSM 就 认为 同步 有 问题 ,识别 AC 失败 。 这 种 问题 就 属于 设备 问题 
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2014-07-07 12:19:55.967 [DEBUG (0)) [THREAD(264)] ICWtanSrynpOper-:iGetVbust|IDebug)the dev oid E1.3.6.1.4.1 25506.2-75.3.1.1.1.3.0.7.168.67-20.198, the def Od is:1.3.6.1 4.1.25506.2.75.3.1.1.1.2 


2014707 12:1925 Sc DEBU EJ TIREADC Sr) waren Oses tti psg he dey ELAS 1 1222062 RA LL17F343837247 Ti ET 2. E1 4 1258062 7531117 
2014-07-97 12:19:55.968 [DEBUG (0)] THREAD(264]] ICWiangnmpOperyGetvbtistllDebugjthe dev oid E: 3.6 1 4.1 25506.2.75.3.1 1 1 8.64 243.8 97.24790, the def od is:1.3.6.1.4.1.25506.2.75.3.1.1.1.8 
2014-07-07 12:19:55.368 [DEBUG (0)] [THREAD(264) [CWianSnmpOper:-1GetVbust] (Debug the dev oid 8:1 3.6.1 4-1 25506.2.75.3.1 1 15.64.243.8.97.247 .50, the def oid is:1-3.6.1 4-1 255062.75.3.1.1.19 
2014-07-97 12:19:55.368 [DEBUG (0)) [THREAD(264) ICWlanSnmpOperiGetVblistjlDebugjthe dev oid s:1 3.6.1.4.125506.2.75.3.11 1 10.64.243.8.97.247.90, the def oid s:1.3.6.1.4.1.25506.2.75.3.1.1.1.10 
107 12: dev old i5:1.3.6.14.1.25906.2.75.3.1-1. 1. 11.84.243.8.97.247.90, the def oid is:1.3.6.1.4.1.25906.2.75.3.L 1.1.11 


[THREAD(264) ::IGetVbList|[Debug)the dev oid 5:1.3.6.1.4.1.25506.2.75.3.1.1.1.12.54.243.8.97.247.90, the def oid is:1.3.6.1.4.1.25506.2.75.3.1.1.1.12 

2014-07-07 12:19:55.368 [DEBUG I0JJ [THREAD(264) [CWanSnmpOper::iGetVolist](Debug]the dev oid is:1.3.6.1.4.1.25506.2.75.3.1.1.1.13.64.243.8.97.247.90, the def oid is:1.3.6.1.4.1.25506.2.75.3.1.1.1.13 

2014-07-07 12:19:55.968 [DEBUG (0)] [THREAD(264)] [CWianSnmpOper::IGetVbtist|[Debug)the dev oid is:1.3.6.1.4.1.25506.2.75.3. 1.1. 1.14.54. 243.8.97.247.90, the def old is:1.3.5.1.4.1.25506.2.75.3.1.1.1.14 

2014-07-07 12:19:55.368 [DEBUG (0) [THREAD(264)] [CWlanSnmpOper::IGetVbist](Debug)the dev oid is:1.3.6.1.4.1.25506.2.75.3. 1. 1.1.15.64.243.8.97.247.90, the def oid 5:1.3.6.1.4.1.25506.2.75.3.1.1.1.15 

2014-07-07 12:19:55.969 [DEBUG (0)] [THREAD(264)] [CWlanSnmpOper::iGetVbList|[Debug)the dev oid is:1.3.6.1.4.1.25506.2.75.3. 1.1. 1.16.64.243.8.97.247.90, the def oid is:1.3.6.1.4.1.25506.2.75.3.1.1.1.16 
s: poper: 


172.29.29.101 SNMP 164 get-response 1.3.6.1.4.1.25506.2.75.3.1.1.1.2 
172.29.29.101 376 trap iso.3.6.1.4.1.25506.2.75.3.2 1.3.6.1.4.1 
146 trap iso. 2.840.10036.1.6 1.3.6.1.2.1.2.2.1.1. 


111 ger-response 1.3.6.1.2.1.1.3.0 1.3.6.1.4.1.25 
391 trap iso.3.6.1.4.1.25506.2.75.3.2 1.3.6.1.4.1 
— 
25506.2.75.3.2 1. 


5962 2014-07-07 12:19:55. 964553000 
5963 2014- 


53757a686f754578706f 


i MISSING” 
.1.1.4.64. 247. 90: 8c129824b048606c 
6 


EEE 53757a686f754578706f 
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122.0.7.168.67. 20.198: 


可 四 回回 加 回回 


图 8-101 日 志 非 正常 结束 错误 


了 ,设备 返回 不 正确 ,所 以 导致 了 WSM 同步 失败 。 需 联系 设备 侧 获取 技术 支持 。 

@ 入 库 失 败 。 在 日 志 中 搜索 CWlanDBOper: :insertWlanDataDB error ,出现 这 种 错误 可 

以 查看 出 错 的 SQL 请 句 , 找 到 具体 原因 。 这 种 错误 出 现 一 种 可 能 是 升级 后 数据 库 表 字段 有 问 
一 种 可 能 是 设备 返回 数据 有 问题 。 示 例如 下 。 

(a) 如 果 SQL 错误 中 出 现 类 似 这 种 “errorMsg: Invalid column name “client_forward_ 
mode. ””, 这 说 明 对 应 表 中 少 了 字段 ,可 以 是 升级 版 本 后 数据 库 表 字 段 出 现 了 问题 ,需要 拨打 
400 电话 获取 进一步 技术 支持 。 

(b) 还 有 一 种 情况 ,可 能 是 设备 返回 的 数据 有 问题 ,示例 如 图 8-102 所 示 。 


importDataFileToDB] (Info) Fail to execure5QL function: bulk insert tbl_capvap_tunnel_info from 'C:\Program Files\iMC\se: 


[CQvDBConnADP: :executesQL] Execute "bulk insert tbl_capwap_tunnel_info from 'C:\Progran Files\iMc\server\bin\. s 


[CWlanVendorDataMgr: :dealAddHPNewDev] (Info) CWlanDBOper: -insektWlanDataDB error, can't insert wlan data to db:106 
图 8-102 设备 返回 数据 有 问题 
第 一 句 如 下 。 


[CQvDBConnADP: : executeSQL] Execute "bulk insert tbl_capwap_tunnel_info from 'C:\ Program| 
Files\ iMC \ server \ bin \ .. \ ../server/data/wlandm/140. txt' with (FIELDTERMINATOR = ',|', 
ROWTERMINATOR \n')" failed, errorMsg: Violation of PRIMARY KEY constraint 'PK__tbl_ 
capw__C003D25002C769E9'. Cannot insert duplicate key in object 'imc_wsm. tbl_capwap_tunnel_info'. 
The duplicate key value is (00:00:00:00:00:00, 106). 
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通过 第 一 句 SQL 错误 ,可 以 看 出 来 是 在 向 数据 库 表 tbl_capwap_tunnel_info 中 插入 数据 
时 ,出 现 了 主键 冲突 ,具体 为 什么 会 主键 冲突 ,就 需要 分 析 这 个 140. txt 文件 了 。 所 以 需要 收 
集 这 个 文件 ,然后 通过 400 电话 联系 二 线 获取 进一步 的 技术 支持 。 

举例 中 的 140. txt 文件 如 下 ,可 以 看 出 前 面 的 字段 有 问题 ,全 是 00:00:00:00:00:00, 需 要 
通过 日 志 甚 至 代码 来 确认 ,是 获取 哪个 字段 得 到 的 ,然后 查看 设备 返回 的 信息 是 否 就 是 这 样 ， 
如 果 是 的 话 就 是 设备 侧 有 问题 。 需 联系 设备 侧 继 续 定 位 。 
00:00:00:00:00:00, 168, 10,175474, 10,175474 
00:00:00:00:00:00, 168, |0, 175465, |0, |175465 
00:00:00:00:00:00, 168, 10,175472, 10, 175472 
00:00:00:00:00:00, 168, |0, 175465, |0, |75465 


00:00:00:00:00:00, 168, 10,175470, 10,175470 
00:00:00:00:00:00,|68,|0,|75465,|0,|75465 


@ 更 新 数据 库 失败 。 如 果 设 备 已 经 加 入 了 WSM 管理 ,但 是 在 WSM 中 同步 AC 失败 ,并 
且 搜 索 到 CWlanDBOper: :updateWlanDataDB error。 这 说 明 WSM 在 同步 AC 时 ,很 有 可 能 
是 设备 上 返回 的 数据 出 现 问题 ,导致 入 库 失败 。 这 与 上 述 第 @ 点 入 库 失 败 问题 类 似 ,根据 找到 
出 错 的 SQL 分 析 是 哪 种 错误 。 必 要 时 需 通过 400 电话 联系 产品 线 二 线 获取 技术 支持 。 
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“See S AA ; 8.1.13 拓扑 常见 
08 iMC 管理 软件 8.1 业务 软件 : iMC 问题 排查 步骤 详解 


1. 开始 

随 着 网 络 设备 越 来 越 多 ,组 网 越 来 越 复 杂 , 当 网 络 出 现 故障 时 ,网 络 管理 员 根 据 网 络 结构 
迅速 定位 网 络 问 题 的 难度 越 来 越 高 。 因 此 对 一 个 网 络 管理 员 而 言 , 完 全 掌握 一 个 网 络 结 构 对 
于 后 续 的 维护 工作 是 非常 重要 的 。iMC 二 层 拓扑 能 够 准确 计算 设备 间 的 连接 关系 ,并 以 全 网 
拓扑 的 方式 进行 展示 ,方便 网 络 管理 员 查 看 。 

在 iMC 平台 中 ,基础 链 路 包括 两 类 : IP 拓扑 链 路 和 二 层 拓 扑 链 路 。IP 拓扑 链 路 主要 是 利 
用 路 由 器 或 三 层 交换 机 的 路 由 接口 地 址 计算 出 来 的 链 路 ,如 果 两 个 路 由 接口 子 网 地 址 和 掩 码 
都 相同 , 则 这 两 个 路 由 接口 都 会 创建 一 条 链 路 连接 到 它们 的 公共 子 网 上 。 如 果 公 共 子 网 的 掩 
码 长 度 为 30 位 , 则 两 个 路 由 接口 之 间 将 会 形成 一 条 直 连 链 路 (PPP) 。IP 拓扑 链 路 体现 的 是 路 
由 器 或 三 层 交 换 机 在 IP 层 的 子 网 划分 和 连接 关系 ,是 一 种 多 辑 链 路 。 二 层 拓 扑 链 路 是 利用 设 
备 间 的 邻居 协议 或 MAC 地 址 学 习 关系 计算 出 来 的 链 路 。 邻 居 协 议 包括 LLDP, NDP, CDP, 
STP, 这 些 协议 都 会 记录 对 端 设 备 信 息 ,iMC 基于 这 些 对 端 设 备 信息 直接 计算 出 二 层 拓 扑 链 
路 。 对 于 MAC 地 址 学 习 关 系 计 算 方式 ,iMC 从 设备 中 采集 BRIDGE-MIB 和 Q-BRIDGE- 
MIB 数据 ,并 计算 设备 间 MAC 地 址 学 习 记 录 的 交集 关系 ,如 果 交 换 机 能 够 彼此 学 习 到 对 方 ， 
且 交 集 为 空 , 则 认为 两 台 交 换 机 之 间 存 在 链 路 。 和 IP 拓扑 链 路 不 同 ,二 层 拓扑 链 路 体现 的 是 
设备 间 的 物理 连接 关系 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

需要 对 照 (智能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 》, 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 ,请 严格 执行 。 

(2) iMC 服务 器 运行 情况 检查 

要 想 正常 iMC 拓扑 功能 需要 保证 iMC 进程 运行 正常 。 

单 击 “ 开 始 ” 一 “智能 部 署 监控 代理 ”命令 ,选择 “进程 "标签 ,查看 进程 jserver 和 
imcl2topodm 是 否 正常 启动 ,具体 如 图 8-103 所 示 。 

说 明 : 一 般 情况 下 ,这 些 进程 通过 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 

(3) iMC 拓扑 是 否 可 以 正常 打开 

IMC 拓扑 是 通过 客户 端 浏览 器 访问 打开 的 ,常见 问题 包括 浏览 器 无 法 打开 MC 拓扑 。 如 
果 无 法 打开 拓扑 ,请 按照 下 面 的 (4)、(5)、(6) 条 排查 ; 如 果 可 以 访问 链 路 识别 有 问题 ,请 按照 
(7)、(8)、(9) 条 排查 。 

(4) iMC 是 否 为 V7 版 本 

iMC V7.0 版 本 开始 ,增加 HTML 5 拓扑 功能 ,有 原来 的 Java 拓扑 逐步 向 HTML 5 拓扑 
变更 ; 所 有 如 果 现 场 使 用 的 是 V7.0 版 本 之 前 的 iMC, 现 场 需要 按照 第 (5) 条 检查 Java 环境 ; 
如 果 是 7.0 及 以 后 版 本 请 使 用 HTML 5 拓扑 ,也 就 是 资源 下 的 网 络 拓扑 功能 打开 拓扑 ,现场 
需要 按照 第 (6) 条 排查 。 

(5) Java 环境 检查 

在 使 用 Java 拓扑 的 情况 下 ,打开 iMC 拓扑 时 需要 检查 你 客户 端的 Java 版 本 是 否 满足 
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ae 进程 | 部署 | 运行 环境 | 
| 


11,560 2014-12-25 10:53;05 核心 进程 


© iman exe 


© inc3zsndtn exe 


36, 800 2014-12-25 10:53:11 可 管理 进程 


Q incaclin exe 


O inccfebskdn. exe 


25, 780 2014-12-25 10:53:11 可 管理 进程 


26, 220 2014-12-25 10:53:11 可 管理 进程 


O isccwdagrdm. exe 


22,836 2014-12-25 10:53:10 可 管理 进程 


Q incepom. exe 


29, 440 2014-12-25 10:53:11 可 管理 进程 


© incfaultdn. exe 


30,512 2014-12-25 10:53:11 可 管理 进程 


O inciccdn. exe 
O incinyentorydn, 


20, 400 2014-12-25 10:53:11 可 管理 进程 
22, 808 2014-12-25 10:53:11 可 管理 进程 


O incjobmgrdn. exe 


22, 452 2014-12-25 10:53:10 可 管理 进程 


O imcl2topodm. exe 


31, 732 2014-12-25 10:53:10 可 管理 进程 


O incnetresdn. exe 


44, 856 2014-12-25 10:53:10 可 管理 进程 


© incperfdn. exe 


31,052 2014-12-25 10:53:11 可 管理 进程 


© incrandn exe 


35,528 2014-12-25 10:53:11 可 管理 进程 


© incsyslogdn. exe 


21, 256 2014-12-25 10:53:11 可 管理 进程 


© incupgdn. eze 


28, T38 2014-12-25 10:53:11 可 管理 进程 


Q iscasnda exe 


24, 440 2014-12-25 10:59:11 可 管理 进程 


O incana eze 


32, 496 2014-12-25 10:53:11 可 管理 进程 


O ine ere 


11, 492 2014-12-25 10:53:05 核心 进程 


O processor. exe 


72, 664 2014-12-25 10:53:11 可 管理 进程 
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IMC 的 要 求 , 这 个 在 打开 拓扑 时 有 体现 。 


“进程 "标签 


另外 ,在 安装 了 Java 环境 的 客户 端 无 法 打开 Java 拓扑 时 ,请 检查 你 的 Java 安全 级 别 和 在 


例外 站 点 中 增加 拓扑 的 URL ,方法 如 下 。 


D 打开 客户 端的 控制 面板 , 双 机 Java 图 标 ,如 图 8-104 所 示 。 
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图 8-104 客户 端的 控制 面板 
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© 在 Java 控制 面板 中 将 安全 级 别 调整 到 底 或 高 。 并 在 例外 站 点 中 增加 拓扑 的 URL š 
击 “ 应 用 ”按钮 ,然后 重启 浏览 器 继续 访问 iMC 拓扑 ,如 图 8-105 所 示 。 


| E 启用 浏览 器 中 的 Javs AEE) 
zeny 


b 
š 


DE AFRE 


使 用 来 自 可 信 入 发 机 构 的 证 书 标识 的 Java HAREKET 
i 


“例外 站 点 ”列表 
在 进行 适当 的 安全 提示 后 , TO A SE REN: 
http: //10.153. 43. 100:8080/im 


确定 Dihs) | ER w 


8-105 Java 控制 面板 


(6) 浏览 器 配套 检查 

在 使 用 HTML 5 拓扑 的 情况 下 ,需要 注意 我 们 iMC 登录 界面 提示 ,使 用 满足 要 求 的 浏览 
器 版 本 ,建议 使 用 Chrome35 及 以 上 版 本 的 浏览 器 。 

(7) 二 层 拓扑 链 路 时 有 时 无 

O 错误 现象 。 现 场 经 常 遇 到 拓扑 上 的 两 台 设 备 间 的 链 路 初始 计算 是 正确 的 ,但 过 了 一 段 
时 间 后 , 链 路 消失 或 变 成 虚线 。 再 过 段 时 间 , 链 路 可 能 又 能 正确 计算 。 

@ 问题 定位 。 这 种 二 层 拓扑 链 路 有 时 能 计算 出 来 ,有 时 又 计算 不 出 来 的 现象 称 之 为 链 路 
老化 (Aged) 。 原 因 是 这 条 链 路 的 计算 方式 为 MAC 地 址 学 习 , 而 MAC 地 址 学 习 信息 是 周期 
老化 的 ,在 MAC 地 址 老化 (Aged) 的 情况 下 , 链 路 计算 不 出 来 ; 在 MAC 地 址 未 老化 的 情况 
下 , 链 路 可 以 正确 计算 。 

O 解决 办 法 。 为 了 解决 设备 MAC 地 址 学 习 信息 老化 的 问题 ,iMC 会 周期 发 送 伪造 ping 
报 文 iMC 还 支持 DISMAN-PING。 不 过 ,DISMAN-PING 是 比较 新 的 标准 ,很 多 老 设备 不 支 
持 。 开 启 的 位 置 在 IMC 的 Web 界面 中 的 系统 参数 中 ,默认 开启 。 针 对 不 支持 的 设备 或 不 能 
开启 该 功能 的 客户 ,建议 在 设备 上 启用 LLDP 协议。 

(8) 二 层 拓 扑 链 路 计算 不 出 来 

O 错误 现象 。 两 台 设 备 之 间 从 组 网 上 看 有 一 条 链 路 ,但 iMC 没有 计算 出 来 。 以 设备 10. 
153. 89. 194 和 10. 153. 89. 200 为 例 ,10. 153. 89. 194 和 10. 153. 89. 200 之 间 从 组 网 来 看 有 一 
条 链 路 ,但 MC 显示 两 台 设备 之 间 没 有 链 路 。 

@ 问题 定位 。 出 现 本 问题 的 原因 很 多 ,需要 通过 二 层 拓扑 内 存 数 据 文件 进行 定位 。 

按照 本 章节 “附录 一 ”提供 的 方法 获取 二 层 拓扑 链 路 内 存 数据 ,并 提取 和 10. 153. 89. 194、 
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10. 153. 89. 200 相关 的 内 存 信息 。 

在 文本 文件 10. 153. 89. 200. txt 中 查找 10. 153. 89. 194 的 MAC 地 址 00:e0:fc:1d:82: 
5e,0xe0fc1d825e, Æ 10. 153. 89. 200 的 邻居 信息 和 MAC 地 址 学 习 信 息 中 都 没有 10. 153. 
89. 194 的 MAC 地 址 ,因此 这 两 台 设 备 之 间 的 链 路 不 可 能 从 10. 153. 89. 200 发 起 计算 。 在 
10. 153. 89. 194. txt 中 查找 10. 153. 89. 200 的 MAC 地 址 00:e0:fc:3d:b9:7d、0xe0fc3db97d， 
发 现 10. 153. 89. 194 具有 相关 的 学 习 信 息 。 


MacAddress learn Info: 


IfIndex: 8 

IDesc: Ethernet0/8 
0xe0fc3db97d 
0xe0fc3db97d 


由 于 10. 153. 89. 200 没有 学 习 到 10. 153. 89. 194 ,不 满足 按照 MAC 地 址 学 习 计 算 方 式 的 
相互 学 习 条 件 , 因 此 不 能 计算 出 这 两 台 设备 之 间 的 链 路 。 

尽管 10.153. 89. 200 和 10. 153. 89. 194 直 连 ,但 10. 153. 89. 200 学 习 不 到 10. 153. 89. 
194 的 MAC 地 址 ,基本 可 以 肯定 的 是 10. 153. 89. 200 学 习 的 MAC 地 址 信息 已 经 被 老化 了 。 

O 解决 方法 。 人 参见 第 7 节 的 解决 方案 。 

(9) 二 层 拓 扑 链 路 计算 错误 

O 错误 现象 。 两 台 设备 之 间 本 来 没有 任何 链 路 ,但 iMC 却 计算 出 一 条 链 路 。 以 设备 10. 
153. 89. 98 和 10. 153. 89. 116 为 例 ,10. 153. 89. 98 和 10. 153. 89. 116 之 间 从 组 网 来 看 并 没有 
链 路 ,但 iMC 却 计算 出 两 者 之 间 有 一 条 链 路 。 

@ 问题 定位 。 该 问题 出 现 的 原因 很 多 ,必须 通过 二 层 拓扑 内 存 数 据 文件 进行 定位 。 

按照 本 节 “ 附 录 一 ”提供 的 方法 获取 二 层 拓扑 链 路 内 存 数据 ,并 提取 和 10. 153. 89. 98、 
10. 153. 89. 116 相关 的 内 存 信 息 。 

在 文本 文件 10. 153. 89. 98. txt 和 10. 153. 89. 116. txt 中 ,确实 记录 了 这 样 一 条 链 路 , 当 
然 , 这 两 个 文件 中 记录 的 是 同一 条 链 路 ,因为 LinkID 相同 。 


DevID: 12 
SymbolID: 1017 
IP: 10.153.89.98 


Macs: 
0xe0fc003100 


MacAddress learn Info: 
IIndex: 4227858 
IfDesc: Ethernet1/0/30 
Oxfe2498048 
Oxfe2498048 

LinkInfo: 


LinkID: 149 LinkLeftSymbolID: 1017 LinkRightSymbolID 1010 LinkLeftIfDesc: Ethernet1/0/30 
LinkRightIfDesc: Ethernet4/8 LinkType: 0 LinkCaclType: 3 
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说 明 : LinkID 149 的 右 符号 ID 为 1010, 就 是 10. 153. 89. 116 的 SymbolID。 


=== 10 152 so l s 
DevID: 7 

SymbollD: 1010 

IP: 10.153.89.116 


Macs: 
Oxfe2008048, Oxfe21da613, 0xfe21da614, Oxfe2498048 


MacAddress learn Info: 

IIndex: 10 

IfDesc: Ethernet4/8 

0x111101, Oxfel111111, Oxfe2000009, Oxe0fc001001, 0xe0fc003100， Oxe0fc020003, 0xe0fc067a80， 
Oxe0fc075880, OxeOfcl07fde, OxeOfcl07fel, OxeOfc211314, Oxe0fc30c8be, Oxe0fc4450f8, Oxe0fc5131cf, 
Oxe0fc52f006, 0x123456789012 

0x111101, Oxfel111111, Oxfe2000009, Oxe0fc001001, 0xe0fc003100， Oxe0fc020003, 0xe0fc067a80， 
Oxe0fc075880, Oxe0fc107fÍde, OxeOfcl07fel, OxeOfc211314, Oxe0fc30c8be, Oxe0fc4450f8, Oxe0fc5131cf, 
Oxe0fc52f006, 0x123456789012 


LinkInfo: 
LinkID: 149 LinkLeftSymbolID: 1017 LinkRightSymbolID 1010 LinkLeftIfDesc: Ethernetl/0/30 
LinkRightIfDesc: Ethernet4/8 LinkType: 0 LinkCaclType: 3 


说 明 : LinkID 149 的 左 符号 ID 为 1017, 就 是 10. 153. 89. 98 的 SymbolID。 

由 于 这 条 链 路 是 通过 MAC 地 址 学 习 信息 计算 出 来 的 (LinkCaclType: 3) ,按照 MAC 
也 址 学 习 计算 方式 进行 计算 ,设备 10. 153. 89. 98 通过 接口 Ethernet1/0/30 学 习 到 设备 
10. 153. 89. 116 的 MAC 地 址 0xfe2498048; 10. 153. 89. 116 通过 接口 Ethernet4/8 学 习 到 设 
备 10. 153. 89. 98 的 MAC 地 址 0xe0fc003100; 10. 153. 89. 98 接口 Ethernet1/0/30 学 习 到 的 
所 有 MAC 地 址 和 10. 153. 89. 116 接口 Ethernet4/8 学 习 到 的 所 有 MAC 地 址 交集 为 空 。 由 
于 按照 MAC 地 址 学 习 计算 方式 的 3 个 条 件 都 已 经 满足 ,因此 iMC 二 层 拓 扑 链 路 计算 本 身 没 
有 问题 。 

@ 解决 办 法 。 需 要 确认 10. 153. 89. 98 和 10. 153. 89. 116 中 间 是 哪 一 台 设 备 ,为 什么 它 
们 没有 学 习 到 中 间 那 台 设备 的 MAC 地址 。 经 过 查看 网 络 确认 ,在 10. 153. 89. 98 和 10. 153. 
89.116 中 间 的 那 一 台 设 备 是 10. 153. 89. 101,10. 153. 89. 101 未 加 入 到 iMC 中 。 由 于 设备 
10. 153. 89. 101 没有 启动 任何 邻居 协议 ,不 会 主动 和 其 他 设备 通信 ,导致 10. 153. 89. 98 和 10. 
153. 89. 116 的 学 习 信息 中 没有 10. 153. 89. 101 的 MAC 地 址 。 把 设备 10. 153. 89. 101 加 入 
iMC 后 ,手工 同步 10. 153. 89. 98,10. 153. 89. 101,10. 153. 89. 116 ,问题 得 到 解决 。 

(10) 附录 一 

在 某 些 情况 下 ,客户 可 能 不 愿意 提供 数据 库 , 如 果 iMC 是 R2602P01 及 以 后 的 版 本 
(R2602 及 以 前 的 版 本 二 层 拓 扑 链 路 不 支持 内 存 导出 ) ,此 时 可 以 获取 iMC 二 层 拓扑 链 路 的 内 
存 数 据 。 

获取 MC 二 层 拓扑 链 路 的 内 存 数据 过 程 如 下 。 

O 在 CMD 模式 下 进入 iMC 安装 目录 。 

© 设置 IMCROOT 环境 变量 。 

© 进入 调试 命令 所 在 目录 \iMCANserver\bin, 并 执行 imfcmd 3 16 -f12topo. txt, 如 
图 8-106 所 示 。 
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E: Ycd "Program Files\iM 


|E: Program Files\iNC NProgran Files\iNC 
|E: \Program FilessiMC>cd server\hin 


les\iNC\server\bin)infcnd 3 -£12topa. 
logNumber = MaxLogNumber 180 
logSize = MaxpogSize 5242888 
CInfLogTask: warning, can't get log path LosPath, using the default value. 
[CImfLogTask: logPath = LogPath E:\Program FilessiMC/server/conf/log/ 
Failed to read RevBufferkength, using default value 131872 


The variable informations have been exported to 12topo.txt 


图 8-106 ”进入 调试 命令 


$ 执 行 结束 以 后 ,将 在 \server\bin 目录 下 产生 一 个 12topo. txt 文件 ,该 文件 包含 所 有 


的 二 层 拓 扑 链 路 内 存 信息 。 
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一 》 去 元 上 - 步 结果 下 


=--》 志 示 上 - 步 结果 出 现 问题 


* 


确认 是 否 
UAM 52 Er402P03 


拨打 热线 
400-910-050+ 
ZM 
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1. 开始 

对 于 计 费 局 点 ,往往 有 用 户 使 用 非法 客户 端 认证 上 线 ,然后 使 用 代理 软件 共享 上 网 , H3C 
iNode 防 破解 功能 可 以 防止 使 用 仿冒 的 认证 客户 端 认 证 上 网 ,避免 了 代理 上 网 行为 ; 对 于 有 
安全 检查 的 局 点 ,使 用 仿冒 客户 端 可 以 逃 过 安全 检查 ,启用 防 破解 功能 后 同样 可 以 避免 这 种 现 
象 。iNode 防 破解 问题 有 启用 防 破解 后 用 户 不 能 上 线 及 用 户 上 线 后 防 破解 功能 不 生效 两 种 ， 
对 于 防 破解 问题 定位 故障 的 思路 及 顺序 是 : U AM 侧 服务 器 软 硬 件 状 态 及 路 由 可 达 性 检查 、 
确认 认证 方式 、 防 破解 参数 配置 检查 和 iNode 配置 检查 。 

本 文 举例 组 网 如 图 8-107。 


° © 


认证 终端 PC 认证 设备 H3C iMC 服 务 器 ( 含 UAM) 
图 8-107 组 网 举例 


IP 规划 如 下 。 

认证 终端 PC: 172. 16. 16. 2/24, 网 关 172. 16. 16. 1。 

认证 设备 : VLAN 16:172. 16. 16. 1/24,VLAN 100; 172. 16. 100. 1/24. 

iMC 服务 器 : 172. 16. 100. 61/24 ,网 关 172. 16. 100. 1 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

服务 器 性 能 是 保证 IMC 认证 系统 稳定 运行 的 基本 要 素 , 所 以 排查 问题 时 首先 需要 确认 服 
务 器 软 硬 件 配置 情况 。 

请 对 照 《 智 能 管理 中 心 iMC) 部 署 和 硬件 配置 方案 ) 查 询 这 套 iMC 服务 器 的 业务 量 是 否 
符合 配置 要 求 。 该 配置 方案 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 。 

D 对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存 、 硬 盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、 同 时 在 线 人 数 多 , 则 需要 根据 (智能 管理 中 心 iMC) 部 署 和 硬件 配 
置 方案 ?要求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 。 

重点 需要 检查 内 存 占用 是 否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 CGiMC) 部 署 和 硬件 配 
置 方案 》 计 算出 的 要 求 ,操作 系统 是 否 是 高 性 能 的 x64 版 本 。 

@ 打开 部 署 监 控 代 理 , 在 部 署 监 控 代理 中 查看 部 署 页 面 ,“ 用 户 接 入 管理 “策略 服务 器 ” 
“策略 代理 服务 器 "和 “智能 策略 代理 ”组 件 状态 应 为 “已 部 署 ”, 如 图 8-108 所 示 。 

(2) iMC 服务 器 运行 情况 检查 

查看 "iMC 智能 部 署 监控 代理 ”中 进程 选项 卡 中 是 否 有 未 启动 的 进程 ,各 进程 是 否 正常 为 
“已 经 启动 ”。 

O 在 部 署 监控 代理 中 ,查看 uam. exe.ispserver.policyserver 进程 是 否 正 常 启动 ; 如 果 是 
Portal 认证 方式 还 需要 确认 portalserver 进程 正常 启动 ,如 图 8-109 所 示 。 

说 明 : 

(a) 一 般 情况 下 ,这 些 进程 通过 息 标 右键 设置 启动 方式 为 “自动 启动 ”。 
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提供 对 接 入 用 户 、 接 入 业务 的 配 . . ， inc VAN 7.1 (E030... 已 部 署 RSS 
提供 终 庙 智能 识别 功能 * im EIP 7.1 Œ030... 已 部 署 。 主 服务 器 
5; arance = misra BREPAR ZIMI... in EP 7. 0302) 未 部 团 
inc uam 7.1 Œ030... 已 部 署 。 主 服务 器 
5 aE- CEE ji REIESE inc uam 7.1 Œ030... 已 部 署 RSS 
Ë j 供用 户 资料 的 自助 查询 和 维护 .imc VAN 7 1 Œ030... 已 部 署 。 主 服务 器 
SA AARNES ž 用 户 接 和 管理 从 部 署 在 用 户 接 入 管理 服务 器 之 外 . . ， iMC VAN 7 1 (E0302) 未 部 署 
9 自主 页 面 定制 heb 服 务 器 提供 一 个 独立 的 Web 容 器 ， 用 于 . . 。 iMC UMN 7.1 Œ030... 已 部 署 RSS 
$ 用 户 接 入 管理 - Portal 服 务 器 提供 Pertal 认 证 功能 * ic U 7.1 Œ030... 已 部 署 。 主 服务 器 
O 用 户 接 入 管理 - 策略 代理 服务 器 。 提供 对 安全 认证 报 文 的 转发 功能 。 iMC_ VAN 7.1 (E0302) 未 部 署 
8 自主 页 面 定制 heb 服 务 器 提供 一 个 独立 的 Web 容器 ,用 于 . inc VAN 7 1 (E0302) 未 部 署 
YSI] 对 接 入 用 户 进行 计 费 管理 。 ic CANS 7.1 人 E0301) 已 部 署 。 主 服 务 器 
I 用 户 行为 审计 提供 对 多 种 用 户 行为 日 志 的 快速 .. mC WBA 7.1 (E0301) 已 部 署 — 主 服务 器 
9 用 户 行为 审计 服务 提供 对 多 种 用 户 行为 日 志 的 管理 .. mc VBA 7.1 (E0301) 已 部 署 — 主 服务 器 
v eile iMC UBA 7.1 (E0301) 未 部 署 


imC ISP 7.1 (E030. . 未 部 署 


Bii ARRS NIPE , 


8-108 查看 部 署 页 面 


=| 


7, 084 2015-03-10 17:51:32 


D apmserver 本 机 224, 212 2015-03-10 17:51:15 可 管理 进程 ”自动 
O binsserver 本 机 788, 780 2015-03-10 17:51:15 可 管理 进程 ”自动 
© dmserver 已 经 启动 ” 本 机 670, 832 2015-03-10 17:51:15 可 管理 进程 自动 
O wosorver 已 经 启动 本 机 864, 616 2015-03-10 17:51:15 可 管理 进程 ”自动 
© enondnagent š 708,896 2015-03-10 17:51:15 可 管理 进程 ”自动 


970, 488 2015-03-10 17:51:15 可 管理 进程 ”自动 


713, 984 2015-03-10 17:51:15 本 管理 进程 自动 


328, 068 2015-03-10 17:51;15 可 管理 进程 “自动 


°, TTT, 220 2015-03-10 18:02:26 可 管理 进程 ”自动 


851,200 2015-03-10 17;51:15 可 管理 进程 自动 


949, 280 2015-03-10 17:51:15 可 管理 进程 自动 


968, 096 2015-03-10 17:51:15 可 管理 进程 ”自动 


634, 384 2015-03-10 17:51:15 可 管理 进程 “自动 


944, 640 2015-03-10 17:51:15 本 管理 进程 “自动 


mschapv2server 


© usaThirdñuth 739, 268 2015-03-10 17:51:15 可 管理 进程 ”自动 


Q eipserver 693, 748 2015-03-10 17:51:15 可 管理 进程 ”自动 


olololololololololololololololololo 
s 


694, 476 2015-03-10 17:51:15 可 管理 进程 ”自动 


8-109 查看 各 进程 是 否 正常 启动 


(b) Portalserver 提供 Portal 认证 功能 。 

(c) Policyserver 主要 用 来 提供 客户 端 类 功能 。 
(d) Uam 进程 提供 用 户 认证 功能 。 

(e) Ispserver 统一 代理 与 iNode 客户 端的 通信 。 


© 检查 iMC 服务 器 1812、1813、9019、50100 和 50200 UDP 端口 是 否 被 上 述 相 


听 , 如 图 8-110 所 示 。 
说 明 : 
(a) Windows 操作 系统 中 ,通过 
netstat -aon | findstr :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID。 
(b) 1812、1813 所 对 应 的 进程 PID 应 为 uam 相关 的 进程 。 


关 进 程 


B 


b iMC 管理 软件 983 


16.100.61:1813 


administrator-UIN-HHBRD4N2IL3 aon ! 9019 
B.0.0.0:9019 =: 


Administrator. VIN-HHØRD4N: on 1 50188 
B.B-B-B:58196 


WIN-HHØRD4N2I L3 aon ! findstr 50200 


WIN-HHØRD4N21 L3 


XED AHO FEV 帮助 00 
应 用 程序 HE | 服务 ”| 性 能 lga | 用 户 | 


Administr 


图 8-110 各 端口 被 进程 监听 情况 


(c) 1812、1813 对 应 的 IP 应 为 UAM 服务 器 实际 IP 地 址 。 

(d) 9019 端口 所 对 应 进程 PID 为 Policyserver 相关 进程 ,所 对 应 的 IP 地 址 应 为 0.0.0.0。 

(e) 50100、50200 端口 所 对 应 进程 PID 为 Portal 相关 进程 ,所 对 应 的 IP 地 址 应 为 0.0.0.0。 

(Í) Linux 系统 命令 

Netstat -apn | grep: 端口 号 。 

O 检查 “iMC 智能 监控 代理 ”>“ 运 行 环境 "选项 卡 ,数据 库 连 接 状态 是 否 正常 ,如 图 8-111 
所 示 o 


监控 | 进程 | 部 署 运行 环境 | 


运行 环境 数据 库 空间 使 用 
FRW: aap 1000 
操作 系统 ; Windows Server 2008 R2 合 z 
操作 系统 版 本 : 6.1 š 
操作 系统 补丁 : Service Pack 1 x 
登录 用 户 : Administrator = ,oo 
Ne sua | üü 
数据 库 : Microsoft SQL Server S 一 一 
数据 库 版 本 : 10.50. 1600 em 
数据 库 服务 器 : 本 机 š 
数据 库 占用 内 存 : 1035 MB “Ñas 
最 大 堆 / 非 堆 内 存 : 3072m/1024m 8 x 

so 

o 

F < . weeds pu et ont eee 

数据 库 
四 已 使 用 a 总 大 

数据 库 备份 与 恢 夏 
RERS: SIRE. 立即 备份 | əma | sees | 


图 8-111 数据 库 连 接 状 态 
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(3) 路 由 可 达 性 检查 

单 击 “ 用 户 ”>“ 用 户 接 入 管理 ”>“ 接 入 设备 管理 ”命令 , 需 添加 接 入 设备 发 给 MC 服务 器 
Radius 协议 报 文 的 端口 IP,iMC 默认 会 同 该 IP 进行 Radius 协议 报 文 交互 , 需 保证 iMC 可 以 
ping 通 该 IP, 本 例 中 接 入 设备 IP 应 为 172. 16. 100. 1。 

对 于 Portal 认证 场景 ,需要 保证 认证 前 后 认证 客户 端 和 Portal 服务 器 路 由 可 达 , 保 证 
Portal nas-ip 和 Portal 服务 器 路 由 可 达 ,Portal nas-ip 默认 为 用 户 网 关 172. 16. 16. 1 。 

说 明 : 

D 接 入 设备 会 有 多 个 IP 地 址 ,如 果 要 更 改 接 入 设备 IP, 需 在 radius scheme 视图 下 配置 
如 下 命令 ,iMC 侧 需 同 步 修改 如 下 。 

[sw-radius-h3c] nas-ip 172. 16. 2. 1 ,并 在 iMC 上 更 改 为 172. 16. 2. 1。 

© Portal 认证 方式 更 改 portal nas-ip 后 需 在 interface-vlan 视图 下 配置 命令 ,iMC 侧 需 同 
步 修改 如 下 。 

[5400eac -Vlan-interface6 ]portal nas-ip 192. 168. 6. 1 。 

(4) 确认 认证 方式 

iNode 防 破解 功能 需要 与 802. 1x 或 Portal 认证 结合 ,不 同 的 认证 方式 防 破解 配置 项 不 
同 ; 如 果 是 802. 1x 认证 ,请 参考 本 文 排查 步骤 (5); 如 果 是 Portal 认证 方式 ,请 参考 本 文 排 
查 步骤 (6)。 

(5) 设备 配置 检查 

本 文 对 认证 相关 的 基本 配置 不 做 袭 述 ,只 是 针对 防 破解 功能 所 需 特 殊 配 置 进行 检查 。 对 
于 802. 1x 认证 ,要求 认 证 方案 必须 为 扩展 模式 , 且 设备 端口 下 必须 配置 dotlx 握手 安全 ,相关 
命令 如 下 。 


[BAS-radius-h3c]display this 
radius scheme h3c 
server-type extended------- 配置 为 扩展 模式 
primary authentication 172.16.100.61 


primary accounting 172.16.100.61 

key authentication 123 

key accounting cipher 123 

nas-ip 172.16.100.1 

[BAS-Ethernet1/0/1]dot1x handshake secure 一 启用 握手 安全 


说 明 : 

O 防 破解 功能 要 求 必须 配置 扩展 模式 。 

© 接 入 设备 配置 的 key 值 需 与 iMC 侧 接 入 设备 配置 的 key 值 保持 一 致 。 

@ Portal 认证 方式 下 同样 需要 认证 方案 为 扩展 模式 。 

(6) 端口 组 配置 检查 

Portal 认证 时 如 果 要 启用 防 破解 功能 ,需要 在 端口 组 开启 “客户 端 防 破解 ”功能 ,如 图 8-112 
所 示 。 
(7) 确认 是 否 UAM 5.2 E0402P03 及 以 上 版 本 
不 同 版 本 的 UAM 需要 配套 不 同 版 本 的 iNode 客户 端 ,否则 防 破 解 功能 不 生效 。 需 要 在 
iMC 配置 管理 台 “ 关 于 ”里 面 查 看 UAM 的 版 本 , 当 UAM 版 本 高 于 等 于 5.2 E0402P03 时 参考 
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Z 用 户 > SAREE > Portal 服 务 管理 > HERZ > SOSSE > 修改 江口 组 信息 
修改 端口 组 信息 

端口 组 名 * 172.16.16.1 提示 语言 * 动态 检测 bs 
FERDO * 0 sran zz 
Wi + HTP ~ REWE 否 ~ 
是 否 NAT * = ~ mase 是 ~ 
认证 方式 * CHAPE = IPibiHA + 17216160 E 
OMTROH * 10 心中 超时 (分 村 ) * 30 
用 户 域名 I aoaie 
FSE 不 支持 ` PIRED + = ` 
TE ~ Pe] ~ 


图 8-112 开启 客户 端 防 破解 功能 


本 文 排查 步骤 (8) , 低 于 该 版 本 时 参考 排查 步骤 (9) 。 

(8) 客户 端 防 破解 配置 检查 

5.2 E0402P03 及 以 上 UAM 版 本 需要 单 击 “ 用 户 ”>“ 接 入 策略 管理 ”一 “业务 参数 配置 ”一 
“系统 配置 ”>“ 客 户 端 防 破解 配置 "命令 后 的 页 面 中 配置 iNode 管理 中 心 IP 地 址 , 且 状 态 为 
“已 生效 ”, 如 图 8-113 所 示 。 


SSMA > AMETI > 业务 参数 配置 > 系统 配置 > 谢 户 铺 防 破解 配置 @s| 


9 提示 
增加 、 修 改 或 删除 管理 中 心 IP 地 址 后 ,请 单 击 < 生 效 > 按 乌 ,使 配置 生效 . 


= mus 
B ü 
«< W> > 


共有 1 条 记录 , 当前 第 1 - 1 , 第 1⁄1 m. 


8-113 配置 iNode 管 理 中 心 IP 地 址 


说 明 : 

@ UAM 5. 2 E0402P03 及 以 上 版 本 防 破解 功能 配套 的 iNode 最 低 版 本 为 iNode 5. 2 
E0406., 

@ 配置 的 管理 中 心 IP 地 址 的 服务 器 必须 安装 Node 管理 中 心 , 且 版 本 必须 和 iNode 版 
本 保持 一 致 ,最 低 为 iNode 5.2 E0406, 

© 管理 中 心 IP 地 址 状态 必须 为 “已 生效 ”; 正常 情况 单 击 左上 “生效 ”按钮 后 ,UAM 会 将 
此 iNode 管理 中 心 的 特征 值 写 入 数据 库 , 确 认 其 他 配置 无 误 后 如 果 防 破解 功能 还 不 生效 ,可 以 
多 次 单 击 “ 生 效 ” 按 钮 再 次 测试 。 

@ 现 网 中 如 果 存 在 不 同 版 本 的 iNode 客户 端 ,可 以 在 此 页 面 配 置 多 个 iNode 管理 中 心 IP 
且 版 本 与 iNode 保持 配套 即 可 。 

(9) 字典 文件 配置 检查 

UAM 版 本 低 于 5.2 E0402P03 H. iNode 版 本 低 于 5. 2 E0406 时 需要 在 iMC 配置 管理 台 


986 根 叔 的 云图 一 一 网 络 故障 大 排查 


“业务 ”>“ 用 户 接 入 管理 ”>“ 业 务 参数 配置 ">“ 客 户 端 防 破解 "页面 配 置 防 破解 字典 文件 , 字 
典 文件 存放 在 iNode 管理 中 心安 装 路 径 *Program Files\iNode\iNode Manager\dictionary\ * ”处 ， 
名 称 为 yyyymmdd-001. hz, yyyymmdd -002. hz 和 yyyymmdd -003. hz, 分 别 对 应 Windows, 
Linux 和 Mac OS 三 种 操作 系统 , 当 网 络 中 存在 多 个 iNode 版 本 时 ,可 以 导入 多 个 不 同 版 本 的 
iNode 字典 文件 以 使 所 有 合法 客户 端 都 可 以 正常 上 线 。 

(10) 版 本 配套 关系 检查 

防 破 解 功 能 要 求 的 配套 版 本 如 下 。 

UAM 5. 2 E0402P03 以 下 版 本 必须 配套 iNode 5. 2 E0406 以 下 版 本 ; UAM 5. 2 E0402P03 及 
以 上 版 本 配套 iNode 5.2 E0406 及 以 上 版 本 ; 如 果 配 套 关系 不 满足 , 防 破解 功能 不 生效 。 

(11) 接 入 策略 配置 检查 

防 破 解 功 能 需要 在 单 击 “ 用 户 ”>“ 接 入 策略 管理 ”一 “业务 参数 配置 ">“ 系 统 配 置 ">“ 系 
统 参数 配 置 "命令 后 的 页 面 中 选择 “ 仅 限 iNode 客户 端 " 单 选 框 ,如 图 8-114 所 示 。 


APEPRE 


v| 仅 限 INode 襄 户 请 


禁用 Windows 可 溶解 客户 请 茜 用 LinuxwMacOS 可 溶解 客户 请 禁止 在 线 修改 IP 地 址 
网 络 故障 时 自动 重 连 自动 重 连 间 隔 (分 钟 ) ”自动 晶 连 次 数 k 
SAWS 1.00-0120 © 


图 8-114 接 入 策略 配置 检查 
说 明 : 
D 客户 端 最 低 版 本 限定 了 网 络 中 可 以 使 用 的 最 低 iNode 版 本 号 。 
© 启用 防 破 解 时 iNode 既 要 满足 前 面 所 述 的 配套 关系 也 必须 高 于 此 处 限定 的 版 本 号 。 
(12) 系统 参数 配置 检查 
802. 1x 和 Portal 认证 场景 下 的 防 破解 , 均 需 要 在 单 击 “ 用 户 ”->“ 接 入 策略 管理 ”>“ 业 务 
参数 管理 ”一 “系统 配置 ">“ 系 统 参 数 配 置 " 命 令 后 启用 “客户 端 防 破解 ”, 如 图 8-115 所 示 。 


SJAA > 接 入 策略 管理 > 业务 参数 配置 > 系统 配置 > 系统 参数 号 置 


AWE, H, iH ( AAA ) 参数 


老化 时 间 间隔 (分 钟 ) * 30 © WESEN) + 5 @ 
接 入 时 段 预算 天 数 (天 ) * 3 © 最 大 会 话 时 长 ( 秒 ) * 86400 @ 
流量 统计 单位 ( 字 节 ) * 1 @ 剩余 流量 单位 ( 字 节 ) * 1 © 
EPRE 启用 Mo 认证 失败 涂 值 (次) + 10 © 


8-115 系统 参数 配置 检查 


(13) iNode 客户 端 配置 检查 

iNode 客户 端 侧 需 在 属性 设置 里 面 选中 “上传 客 户 端 版 本 号 ? 复 选 框 ,否则 UAM 无 法 获 
取 客 户 端 版 本 导致 认证 失败 ,如 图 8-116 所 示 。 

说 明 : 对 于 802. 1x 和 Portal 认证 均 需 要 勾 选 该 项 。 


EG: MC 管理 软件 


987 


w (Pa | 高 级 


连接 名 Poruni 
连接 类 型 
© 普通 连接 
© 快速 认证 连接 
© 单 点 登录 连接 


无 线 环境 下 自动 认证 


图 8-116 iNode 客户 端 配置 检查 
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Eä 
MB 操作 
L 4212222 


排查 文件 ` 
传输 问题 拨打 热线 


400-310-0504 
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8.1.15 备份 设备 配 
08 iMC 管理 软件 置 文件 失败 步骤 详解 
故障 排查 


1. 开始 


iMC PLAT 提供 了 iCC 智能 配置 中 心 功能 来 对 设备 的 配置 和 软件 进行 管理 ,主要 包括 设 
备 配 置 的 手动 \ 自 动 备份 及 下 发 ,设备 软件 的 手动 \ 自 动 备份 及 下 发 等 功能 ,能 够 大 大 减轻 运 维 
管理 的 工作 量 ,高 效 安全 地 完成 对 网 络 中 设备 的 管理 和 维护 。 本 篇 详细 分 析 iMC 进行 设备 配 
置 备 份 时 的 具体 实现 原理 和 交互 过 程 ,并 提供 完整 的 故障 排查 思路 ,可 供 配置 备份 失败 时 
参考 。 

(1) 备份 设备 配置 时 iMC 首先 会 尝试 以 SNMP 方式 去 备份 ,具体 为 先 向 设备 的 MIB 节 
点 hh3cCfgOperateRowStatus 写 人 整个 过 程 需要 下 发 的 变量 数 ,通常 情况 下 备份 设备 配置 的 
过 程 中 会 涉及 6 个 变量 ,所 以 值 一 般 为 6, 如 图 8-117 所 示 。 


Frame 17: 99 bytes on wire (792 bits), 99 bytes captured (792 bits) on interface O 
Ethernet II, src: Hangzhou_1d:2f:20 (Oc:da:41:1d:2f:20), Ost: Hangzhou_17:9d:98 (00:23:89:17:9d:98) 
Internet Protocol Version 4, src: 192.168.1.212 (192.168.1.212), Dst: 192.168.1.104 (192.168.1.104) 
User Datagram Protocol, src Port: 55513 (55513), Dst Port: snmp (161) 
Simple Network Management Protocol 
version: v2c (1) 
comunity: private 
E data: set-request (3) 
S set-request 
request-4d: 1012 
error-status: noerror (0) 
error-index: 0 
B variable-bindings: 1 item 
B 1.3.6.1.4.1.25506.2.4.1.2.4.1.9.70102: 


.1.25506.2.4.1.2.4.1.9.70102 (150.3.6.1.4.1.25506.2,4.1.2.4.1.9.70102) 


图 8-117 6 个 变量 


这 一 步 操作 没有 问题 后 ,iMC 会 向 设备 的 hh3cCfgOperateType 节点 下 发 此 次 的 操作 类 
型 为 备份 配置 ,向 hh3cCfgOperateProtocol 节点 下 发 传输 配置 文件 所 用 的 传输 方式 ,向 
hh3cCfgOperateFileName 节点 下 发 要 备份 的 文件 名 ,向 hh3cCfgOperateServerAddress 节点 
下 发 接收 备份 的 服务 器 地 址 ,向 hh3cCfgOperateEndNotificationSwitch 节点 下 发 操作 结束 标 
记 等 ,如 图 8-118 所 示 。 


Object mame: 1.3. 
value CInreger32 


4.1.3.70102) 
4.70102) 
n2.4.1. 5.70102) 
4.1.8.70102) 


Object Name: 
Value CInteger32): 


4.1.0.70102) 


图 8-118 下 发 信息 


990 根 叔 的 云图 一 一 网 络 故障 大 排查 


只 有 保证 以 上 操作 没有 问题 ,SNMP 方式 才能 备份 成 功 。 

(2) 如 果 SNMP 方式 备份 失败 ,iMC 会 再 次 尝试 以 CLT 方式 进行 备份 ,具体 为 通过 前 期 
配置 的 设备 登录 方式 (Telnet 或 SSH) 先 登录 到 设备 ,然后 以 执行 命令 的 方式 将 配置 文件 传输 
过 来 。 通 过 查看 iMC 配置 备份 的 后 台 日 志 可 以 看 到 当 iMC 以 SNMP Set 方式 向 设备 的 
hh3cCfgOperateTable 表 节 点 操作 失败 后 ,会 以 Telnet 方式 登录 到 设备 执行 TFTP 命令 传输 
文件 ,如 图 8-119 所 示 。 


2015-03-07 15:17:14. 606 [ERROR (1)] [THREAD(2924)] [imc 
z oor 1 


eets ins 0] Failed to pr faii inges. 

Oper: omami ty is empty for smov}/2 set >[192. 168. 1. 104] 
>[192. 168. 1. 104] 
on ->[192. 168. 1. 104] 


for snmpyl/2 set 
= 49 Failed to comit h3cCfs0pe 


GS delete /unreserved iceruming. cfg 
% Execution failure 
H 


3C>delete /unreserved iccrunning. zip 


gn will be saved to cfaD:/iccruming. cfs. Continue? [TAN] :y 
devi, Á 


atii cfað 
aote 192 189 22 put iccrunning. cfg ruming 1372224512. cfel 


File will be transferred in binary mo 

Sending file to remote TFTP server. YPleese wait, -An 
bytes sent in 0 second(s). 

File uploaded successfully. 


“HCYdisplay startup 

Current startup saved-configuration file: cfa0:/startup. cfe 

Next main startup saved-configuration file: cfa0:/startup. cfe 

Next backup startup saved-configuration file: 

<H3C>tftp 192. 168. 1. 212 put cfa0:/startup. cfg startup_1372224612. cfg 


File will be transferred in binary mo 
Š to remote TPIP servez, Please mait.. .wo 
1842 bytes sent in 0 second(s). 
File uploaded sucessfully. 


8-119 登录 到 设备 执行 TFTP 命令 传输 文件 


如 果 SNMP 方式 和 CLT 方式 都 操作 失败 后 , 则 iMC 会 返回 备份 失败 提示 o 

以 上 为 iMC 进行 设备 配置 备份 的 处 理 流 程 , 故 出 现 问题 时 可 按 步 顺序 排查 哪 一 步 有 
问题 。 

2. 确认 iMC 与 设备 通信 正常 

第 一 步 先 确认 备份 时 iMC 是 否 和 设备 通信 正常 ,由 于 备份 时 会 用 到 SNMP UDP 161, 
TELNET UDP 23 等 端口 ,所 以 不 只 是 要 能 ping 通 , 最 好 测试 一 下 这 些 端口 是 否 能 够 正常 
连接 。 

3. 确认 进程 运行 正常 

请 登录 iMC 服务 器 在 部 署 监控 代理 中 查看 进程 imciccdm. exe 和 imccfgbakdm. exe 是 否 
运行 正常 ,并 且 如 果 经 过 后 续 排 查 也 解决 不 了 问题 可 以 尝试 重启 这 两 进程 ,如 图 8-120 所 示 。 

4. 查看 设备 能 力 集 

在 设备 详细 信息 一 设备 能 力 集中 查看 一 下 本 设备 是 否 支 持 通过 SNMP 或 CLT 方式 进行 
备份 操作 ,这 里 列 出 了 4 种 操作 类 型 ,2 种 操作 协议 共 8 种 情况 的 支持 与 否 ,以 此 来 判断 本 次 
操作 是 否 支 持 , 如 图 8-121 所 示 。 

说 明 : 某 些 版 本 的 iMC 可 能 没有 这 个 界面 ,那么 可 忽略 此 步 直接 进行 后 续 排 查 。 

5. 是 否 支持 SNMP 方式 备份 

通过 上 步 可 以 确认 可 否 通 过 SNMP 方式 备份 设备 配置 ,如 果 设 备 支持 , 则 可 以 进一步 排 
查 SNMP 方面 问题 ,如 果 不 支持 , 则 iMC 会 通过 CLT 方式 备份 设备 配置 ,可 排查 CLT 方面 
问题 。 
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而 智能 部 署 监控 代理 -5 

监控 进程 | 部 署 | 运行 环境 | 

[ [ æ | As | m [cv | 内存 ww) | ema | 类 型 | 启动 模式 | 
š. 6, 096 2015-03-06 09:50:46 CY šJ 

20, 208 2015-03-06 09:50:52 


D incinventorydm... 已 经 启 
O incjobmgrdm. exe 已 经 启动 + 
O incl2topoan exe 已 经 启动 本 机 


C) : 
0 17, 800 2015-03-06 09:50:51 可 管理 进程 1 
0 21, 132 2015-03-06 09:50:51 可 管理 进程 ”自动 
O incnetresdm. exe 已 经 自动 。 本 机 0 31, 764 2015-03-06 09:50:51 可 管理 进程 ”自动 
Q incperfam exe PZB 本 机 0 21, 188 2015-03-08 09:50:51 可 管理 进程 “自动 
O incsyslogin, exe 已 经 启动 本 机 0 15, 368 2015-03-06 09:50:52 可 管理 进程 ”自动 

0 

0 

0 

0 

0 


© incupedn exe 已 经 启动 本 机 23, 712 2015-03-06 09:50:51 可 管理 进程 ”自动 
© incvlandm. exe 已 经 启动 ” 本 机 17,812 2015-03-06 09:50:52 可 管理 进程 ”自动 
© = = 
F 
P, 
P 


imcvnmdm. exe 24, 908 2015-03-06 09:50:52 本 管理 过 各 


img_exe 


tftpserver. exe 


图 8-120 确认 进程 运行 正常 


设备 名 称 ç 设备 型 号 $ atnm 访问 方式 支持 TFTP 。” 支持 FTP 支持 SFTP 。 支持 SCP 
H3C(192,168.1.104) H3C MSR30-20 maw cu 是 是 是 = 
H3C(192.168.1.104) H3C MSR30-20 RENE cu 是 是 是 = 
H3C(192.168.1.104) H3C MSR30-20 软件 备份 cu = = 是 = 
H3C0192.168.1104) H3C MSR30-20 RARR cu 是 是 是 s 
H3C(192.168.1.104) H3C MSR30-20 本 得 备份 SNMP 是 是 a = 
H3C(192.168.1.104) H3C MSR30-20 REN SNMP 是 是 s = 
H3C(192.168.1.104) H3C MSR30-20 软件 备份 SNMP 是 是 = s 
H3C(192.168.1.104) H3C MSR30-20 KERR SNMP 是 是 Li = 


共有 8 条 记录 , 当前 第 1 - 8 , 第 1/1 m. 


v 
8 
cl 


8-121 2 种 操作 协议 的 支持 与 否 


6. 检查 SNMP 读 写 团体 字 

iMC 备份 设备 配置 时 ,需要 进行 SNMP Set 操作 ,所 以 如 果 iMC 和 设备 配置 的 读 写 团体 
字 不 一 致 就 会 导致 备份 失败 ,提示 如 图 8-122 所 示 错 误 。 

出 现 此 错误 时 ,可 在 iMC 单 击 “ 操 作 界 面 资 源 *>“ 批 量 操作 ”一 “ 校 验 访问 参数 ”命令 后 进 
行 SNMP 参数 校 验 来 确定 SNMP 参数 的 配置 .如 图 8-123 所 示 。 

当 校 验 结果 为 成 功 时 则 表示 iMC 和 设备 配置 的 SNMP 读 和 读 写 团体 字 一 致 ,如 果 返 回 
错误 则 需要 进行 修改 保证 校 验 成 功 。 

7. MIB 操作 是 否 成 功 

如 果 iMC 不 支持 备份 此 款 设备 (可 在 平台 版 本 说 明 书 中 iCC 部 分 查看 ) ,或 者 设备 MIB 
方面 存在 问题 ,可 能 会 不 存在 配置 备份 操作 需要 Set 的 MIB 节点 ,可 以 在 抓 包 中 看 到 
hh3cCfgOperateTable 中 的 节点 返回 值 不 存在 的 现象 。 则 此 设备 无 法 通过 SNMP 方式 进行 配 
置 备份 操作 。 


992 根 上 起 的 云图 一 一 网 络 故障 大 排查 


BUS > EEES > H3C(192.168.1104) > 备份 配 畦 文件 结 果 


备份 配置 文件 车 村 
Å rranunus. REMTE. Hih: RARIOR, RAR THER- 
设备 名 称 nars 本 加 文科 类 型。 时间 结果 REAS wasa 
3015-03- y mag o NEER , Ie : 启动 本 
Tasas BU “0" +. ETRE O 个. 
2015-03- x 
H3C(192.168.1.104) H3C MSR30-20 启动 07 x SNMP Set 提 作 和 失败 。 一 a 
1346:37 
2015-03- = 
H3C(192.168.1.104) H3C MSR30-20 运行 07 x SNMP Set 操 作 舌 败 。 一 iq 


134637 


2015-03- 
备份 配置 文件 开始 
13:4630 


8-122 SNMP Set 操作 


名 资源 > 批量 操作 > 校 验 访问 参数 


状态 类 型 设备 型 号 IP 地 址 m: 
次 要 路 由 器 H3C MSR30-20 192.168.1.104 ü 
共有 1 条 记录 . 
检查 项 


me 


图 8-123 SNMP 参数 校 验 


8. 是 否 支持 CLT 方式 备份 

如 果 设 备 不 支持 SNMP 方式 备份 或 SNMP 备份 失败 ,请 在 设备 能 力 集中 查看 是 否 支持 
CLT 方式 备份 。 

9. 设备 不 支持 

如 果 设 备 不 支持 SNMP 方式 也 不 支持 CLT 方式 备份 , 则 此 设备 无 法 在 iMC 中 进行 备份 
操作 。 

10. 确认 CLT 操作 正确 

在 设备 详细 信息 页 面 可 以 看 到 配置 的 设备 登录 方式 ,请 确保 此 处 配置 了 登录 方式 ,并 且 参 
数 配 置 正确 。 可 以 在 单 击 “ 资 源 ”>“ 批 量 操 作 ” 一 “检验 访问 参数 ”命令 后 ,通过 校 验 一 下 来 
确认 。 

如 果 登 录 方 式 配 置 正确 ,还 可 以 打开 imccfgbakdm. txt 日 志 确 认命 令 在 设备 上 是 否 执行 
成 功 ,如 图 8-124 所 示 。 


EG: MC 管理 软件 993 


<H3C>display startup 

Current startup saved-configuration file: cfa0:/startup. cfg 

Next main startup saved-configuration file: cfa0:/startup. cfg 

Next backup startup saved-configuration file: NULL 

<H3C>tftp 192. 168. 1.212 put cfa0:/startup. cfg startup_1372224612. cfg 


File will be transferred in binary mode 
Sending file to remote TFTP server. Please wait... x ü 


TFTP: 1842 bytes sent in 0 second(s). 
File uploaded successfully. 


8-124 用 imccfgbakdm. txt 日 志 确 认命 令 执 行情 况 


11. 排查 文件 传输 问题 

如 果 备 份 操 SNMP Set 或 CLT 方式 成 功 触发 了 备份 操作 ,但 是 备份 失败 , 则 有 可 能 是 文 
件 传输 过 程 中 有 问题 。 可 在 iMC 页 面 单 击 “ 业 务 ”>“ 设 备 配 置 管理 ”>“ 选 项 ”一 “文件 传输 方 
式 ” 命 令 后 查看 设置 的 文件 传输 方式 (默认 为 TFTP 方式 ,iMC 本 身 包含 一 个 imctftpdm. exe 
进程 作为 TFTP 服务 器 端 ), 如 图 8-125 所 示 。 


w 


E =<. PEI RE 


RESES 


对 于 HP E 系 列 设备 如 果 没有 使 能 SFTP/TFTP , MOFLET., REE ， 请 在 操作 完成 后 手动 改 回来 。 
图 TFTP 
Orp 
( )SFTP ( 需 启用 设备 的 SFTP Server 最 务 ， 并 正确 配置 ;MC 中 设备 的 SSH 参 数 ) 
(_)SCP ( 需 启 用 设备 的 SCP Server 服 务 ， 并 正确 配置 ;MC 中 设备 的 SSH 参 数 ) 


(BRAF 


BEF ;s:=FTpESSENSsX(+ , HRRRRERAAMSRS HSHTH: “server\tmp”。 
FTP 用 户 名 


FPE 


8-125 查看 设置 的 文件 传输 方式 


如 果 imctftpdm. exe 进程 运行 异常 或 设备 配置 的 TFTP 源 地 址 有 问题 等 , 即 会 造成 
TFTP 传输 错误 ,如 图 8-126 所 示 。 

12. 收集 相关 信息 

如 果 以 上 步骤 排查 完 都 不 能 解决 问题 ,请 反馈 以 下 信息 联系 H3C 售后 支持 热线 处 理 。 

O 设备 型 号 版 本 ,运行 配置 。 

© iMC 版 本 。 

O 配置 备份 过 程 中 iMC 服务 器 上 的 抓 包 。 

@ MC 的 后 台 日 志 , 收 集 方法 为 先 在 iMC 安装 目录 imc\server\conf\qvdm. conf 文件 中 
将 LogLevel 二 INFO 改 为 LogLevel 一 DEBUG ,重启 imciccdm. exe 和 imccfgbakdm. exe 进程 ， 
然后 进行 备份 操作 ,失败 后 反馈 iMC 安装 目录 imc\server\conf\log\ 目 录 中 的 imciccdm. txt 
和 imccfgbakdm. txt 文件 。 


994 根 叔 的 云图 一 一 网 络 故障 大 排查 


@ 业务 > 设备 配置 一览 表 > H3C(192.168.1.104) > 备份 配置 文件 结果 


备份 配置 文件 千 果 


AY 手工 音量 设备 结束 。 RRITAR Mh: KORICE. ROAR TNR- 


设备 名 称 设备 型 号 配置 文件 类 至 时间 


2015-03- 
07 
135051 


2015-03- 
H3C(192.168.1.104)  H3C MSR30-20 


07 
13:50:50 

2015-03- 
H3C(192.168.1.104) — H3C MSR30-20 启动 07 
13:50:50 
2015-03- 
07 
13:50:45 
PUS > 设 和 配置 一 览 表 > H3C(192.168.1.104) > 备份 配置 文件 结果 


备份 配置 文件 结果 


ar 
~ REN "0" MEEL. 其 中 : SE 
ELH 0” 个 , 运行 配置 文件 “0” 个 . 


Xx TFTP Server 未 启动 . 


X TFTP Server 示 主动 。 


~ 备份 配置 文件 开始 . 


Ay rranasuw.nanuqan, Hh: KORONER ROAR TNI- 


设备 名 称 设备 型 号 配置 文件 类 型 “时间 
2015-03- 
07 
1408:19 
2015-03- 
07 
1408:18 


H3C(192.168.1.104)  H3C MSR30-20 启动 


2015-03- 
H3C(192.168.1.104) — H3C MSR30-20 07 


1408:18 
2015-03- 
07 
140446 


图 8-126 


s 共 备份 “0 NEE, 其 中 : 启动 配 
ELE “0” 个 , 运行 配置 文件 “0” 个 . 

X TFTP 方 式 从 设备 传输 配置 文件 到 iMC 服 务 
L 


X TFTP 方 式 从 设备 传 连 孔 置 文件 到 MC 服务 
L 


< 备份 配置 文件 开始 . 


TFTP 传输 错误 


äi 


ği 


ji 


i 
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iwc 页 十 显示 部 码 故 障 排查 


其 他 网 站 检查 浏览 器 
是 否 让 友人 编码 
a 


#£ 2 ¿B t EAA 
诸 言 排序 规则 
拨打 热线 
400-310-0504 


tnng # t 3⁄ 
打开 视图 


收集 相关 信息 


996 根 叔 的 云图 一 一 网 络 故障 大 排查 


TEA ERE 8.1.16 iMC 页 面 显示 E 
08 iMC 管理 软件 8.1 业务 软件 : iMC 乱码 故障 排查 步骤 详解 
1. 开始 


iMC 为 B/S 架构 ,客户 端 只 需要 安装 浏览 器 就 可 以 轻松 管理 iMC,iMC 目前 只 支持 简体 
中 文 和 英文 两 种 语言 。 并 且 iMC 基于 操作 系统 和 数据 库 运行 ,所 以 页 面 内 容 的 显示 也 会 受 
到 系统 和 数据 库 语 言 环境 的 影响 。 本 篇 详细 讲解 在 iMC 页 面 出 现 乱 码 问题 时 的 故障 排查 
思路 。 

2. 其 他 网 站 是 否 乱码 

如 果 此 浏览 器 打开 其 他 和 iMC 语言 相同 的 网 页 也 会 出 现 乱 码 , 则 有 可 能 是 浏览 器 编码 设 
置 问题 ,如 果 不 乱 码 则 可 排除 编码 问题 ,进行 后 续 步 骤 排 查 。 

3. 检查 浏览 器 编码 

以 TE 浏览 器 为 例 , 可 在 浏览 器 中 单 击 “命令 栏 ?一 ”页面 ”一 "编码 ”命令 后 进行 设置 ,如 
图 8-127 所 示 。 


-0 -5 @ -[mm +| s>ss)- Imo- @- Ó p Z, 
新 建 窗口 (N) Cl+N 


BE 和 >? 智能 管理 中 心 


二 N 
yë 


~ 
Management Center 


TAD 


8-127 ”检查 浏览 器 编码 


4. 检查 系统 语言 

如 果 其 他 网 页 显示 正常 或 浏览 器 编码 设置 没有 问题 , 则 需要 确认 操作 系统 显示 语言 为 简 
体 中 文 , Windows 系统 可 在 单 击 “ 控 制 面板 ”>“ 区 域 和 语言 "命令 后 选择 “键盘 和 语言 "选项 
卡 ,会 看 到 当前 系统 显示 语言 语种 ,如 图 8-128 所 示 。 

如 果 这 里 显示 的 不 是 中 文 (简体 ) 并 且 下 拉 框 中 也 无 法 选择 时 ,就 需要 安装 语言 包 , 在 此 页 
单 击 “安装 ”外 载 语言 ”命令 后 会 弹出 选择 文件 页 面 ,选择 好 之 前 下 载 到 的 语言 包 后 单 击 * 确 
定 ?按钮 , 即 可 完成 语言 包 的 安装 。 目 前 微软 官网 也 提供 直接 运行 安装 的 . exe 格式 语言 包 , 直 
接 双 击 即 可 完成 安装 ,如 图 8-129 所 示 。 

完成 后 就 可 看 到 此 时 显示 语言 下 拉 框 已 经 有 了 可 选 的 语言 了 ,选择 好 后 单 击 “确定 按钮 
即 可 完成 显示 语言 设置 ,如 图 8-130 所 示 。 

完成 后 需要 重启 系统 以 使 设置 生效 。 
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格式 “| 位 置 mesum | 


arma, a 
FERRAN TA , W: Fa . 
NAFTE RENAS? 

ETEA 


LAEE Windows 可 用 于 显示 文本 和 识别 语音 和 手写 (在 交 持 地 区 ) 的 语 
x. 


图 8-129 ”完成 安装 


ut jor tawinjee | 


RERNE EA 
FELRAKTA | Auh Ese. 


FER 
LARR Windows BEF ETERNE E EERE 
a. 


k La 
ERRUTEA H: 


[ezam E| 


Prano 


图 8-130 ”完成 显示 语言 设置 


Linux 系统 可 执行 命令 echo $ LANG 来 确认 系统 语言 设置 ,如 果 执 行 结果 为 zh_CN. 
UTF-8 则 证 明 设 置 的 是 中 文 环境 ,如 果 不 是 则 需要 以 root 用 户 登 录 到 iMC 服务 器 并 打开 / 
root/ 目 录 下 的 . porfile 文件 ,并 在 其 中 添加 LANG =zh CN. UTF-8,export LANG 命令 ,添加 
完成 后 保存 退出 ,如 图 8-131 所 示 。 

添加 后 可 执行 命令 source . profile 或 重启 系统 使 之 生效 。 


998 根 叔 的 云图 一 一 网 络 故障 大 排查 


ë the default um t in c/pr' ; for si 
11 and figure the libpam-u 


's private bin if it e; 


ANG=zh_CN.L 
>xport LANG 


图 8-131 J echo $ LANG 命令 来 确认 系统 语言 设置 


5. 检查 数据 库 语言 设置 
Windows 系统 时 可 登录 数据 库 客户 端 ,连接 iMC 所 使 用 的 数据 库 实例 , 右 击 选择 “属性 ” 
命令 ,查看 “常规 ”中 语言 是 否 为 中 文 (简体 ,中 国 ) ,如 图 8-132 所 示 。 


BI GE er NM i 了 


a ns * 天 全 性 

ET San 

* v neser 
$ ae 
Pea 


图 8-132 查看 “常规 ”中 语言 是 否 为 中 文 


查看 “高 级 ”中 默认 语言 是 否 为 Simplified Chinese, 如 图 8-133 所 示 。 


ZARBIDA GEL] 
日 杂 硕 

Ainsi zoss 

wuezuas 2052 


Faise 


图 8-133 ”查看 “高 级 "中 默认 语言 是 否 为 Simplified Chinese 


Linux 系统 时 需要 保证 在 安装 Oracle 数据 库 过 程 中 设置 的 字符 编码 格式 为 Simple 
Chinese ZHS16GBK ,如 果 设 置 不 对 的 话 则 需要 重新 安装 数据 库 。 

6. 检查 各 组 件数 据 库 语言 排序 规则 

在 iMC 中 每 个 组 件 都 有 其 自己 的 数据 库 , 如 果 其 他 页 面 都 显示 正常 ,只 有 关于 此 组 件 的 


EP iMC 管理 软件 999 


页 面 乱码 , 则 有 可 能 只 是 该 组 件 的 数据 库 语言 设置 有 问题 。 比 如 经 常会 出 现 性 能 监控 实例 乱 
码 , 这 时 就 需要 确认 性 能 数据 库 perf_db 的 语言 排序 规则 。 确 认 其 所 使 用 的 数据 库 语 言 排序 
规则 为 Chinese_PRC_CI_AS, 选 择 perf_db 右 击 后 选择 * 属 性 ?命令 ,在 常规 中 查看 排序 规则 ， 
如 图 8-134 所 示 。 


图 8-134 检查 各 组 件数 据 库 语言 排序 规则 


如 果 更 改 不 成 功 的 话 可 重启 数据 库 服务 然后 更 改 , 须 确保 每 个 数据 库 都 使 用 此 种 排序 规 
则 ,使 用 其 他 排序 规则 的 组 件 在 其 显示 页 面 都 可 能 会 出 现 乱 码 。 

7. 重新 加 载 或 打开 视图 

到 这 里 的 话 基本 上 乱码 问题 已 经 排查 得 差不多 了 ,重新 打开 iMC 页 面 应 该 会 恢复 正常 。 
特别 注意 的 是 如 果 乱 码 出 现在 性 能 监控 实例 和 告警 描述 时 ,那么 之 前 的 告警 乱码 是 无 法 修改 
的 ,新 产生 的 告警 则 显示 正常 。 性 能 监视 实例 的 可 以 通过 重新 获取 实例 来 解决 ,操作 步骤 为 重 
新 添加 已 监控 的 这 些 实例 ,这 里 需要 注意 的 是 因为 这 些 实例 已 经 添加 了 ,默认 情况 下 是 选择 不 
了 青 次 添加 的 ,需要 先 在 增加 监视 页 面 右上 角 勾 选 “重新 获取 实例 ”, 选 择 好 实例 之 后 单 击 “ 确 
定 ” 按 钮 即 可 ,如 图 8-135 所 示 。 


mm 
[OF Onuam 
anns 


8-135 重新 加 载 或 打开 视图 


8. 收集 相关 信息 
如 果 以 上 步骤 排查 完 之 后 还 是 不 能 解决 页 面 乱码 问题 ,请 反馈 相关 信息 联系 H3C 售后 技 
术 支 持 热线 400-810-0504 解决 。 
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imcha Efa i A tk Y HEA 


y kL - ji ku 
---y 志 志 上 - 步 结果 出 现 问题 


拨打 热线 
400-310-0504 
EPA 
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1. 开始 


iMC 智能 管理 中 心 采 用 B/S 架构 设计 ,管理 员 对 iMC 的 所 有 操作 都 可 以 在 浏览 器 页 面 完 
成 。 所 以 操作 页 面 的 响应 速度 就 直接 影响 管理 员 的 工作 效率 。 本 篇 详细 分 析 各 种 情况 导致 
iMC 页 面 响应 慢 的 现象 ,并 提供 排查 思路 , 供 现场 故障 时 参考 。 

2. 是 否 所 有 页 面 都 慢 

为 提高 响应 速率 ,iMC 内 部 采用 模块 化 设计 ,相应 模块 独立 到 各 自 数 据 库 中 读 取 数据 给 
前 台 显 示 , 所 以 首先 请 判断 是 所 有 页 面 都 慢 还 是 只 有 个 别 页 面 慢 。 可 登录 iMC 页 面 对 资 源 、 
用 户 .业务 .告警 等 所 有 页 面 逐 个 进行 单 击 测试 ,并 记录 异常 页 面 是 否 存在 共性 。 

说 明 : 如 果 单 击 某 个 页 面 报错 并 提示 "返回 首页 ”, 可 能 是 系统 后 台 正 在 进行 数据 同步 等 
比较 繁忙 ,可 以 稍 后 单 击 尝试 。 

3. 检查 服务 器 负载 情况 

如 果 iMC 的 所 有 页 面 都 响应 缓慢 .有 可 能 就 是 服务 器 本 身 的 性 能 不 足 导致 ,请 着 重 检查 
服务 器 CPU 利用 率 ,内 存 利用 率 ,网 速 情况 ,磁盘 1/O 性 能 ,如 图 8-136 所 示 。 


zl 


TE 
查看 WW) 帮助 00 
应 用 程序 | 进程 | 服务。 性 能 | 联网 | 用 户 | 


146 
28:18:17:09 


图 8-136 检查 服务 器 负载 情况 


4. 硬件 规格 是 否 符合 要 求 

如 果 MC 平稳 运行 中 服务 器 的 CPU ,内 存 等 利用 率 都 非常 高 ,就 说 明 目 前 的 硬件 规格 不 
满足 业务 量 的 需求 。iMC 在 安装 部 署 时 对 服务 器 的 性 能 有 严格 的 要 求 ,并且 给 出 了 对 应 的 标 
准 。 详 细 内 容 请 参考 人 iMC 安装 部 署 硬件 指导 》。 

5. 硬件 扩容 

对 于 不 符合 (iMC 安装 部 署 硬件 指导 ) 要 求 的 局 点 ,请 协调 客户 对 服务 器 进行 扩容 。 性 能 
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较 差 的 服务 器 不 但 无 法 发 挥 MC 的 最 大 性 能 而 且 还 可 能 会 造成 各 种 异常 现象 。 

6. 限制 数据 库 内 存 

0 果 服 务 器 内 存 已 经 达到 了 《iMC 安装 部 署 硬件 指导 ) 中 的 要 求 ,但 是 资源 管理 器 中 还 是 
显示 内 存 利 用 率 非常 大 ,有 可 能 就 是 SQL Server 数据 库 导致 的 。 由 于 SQL Server 对 内 存 的 
使 用 规则 是 占用 后 就 不 会 自动 释放 ,所 以 数据 库 运行 入 了 会 导致 数据 库 占用 的 内 存 越 来 越 大 。 
这 时 可 以 通过 限制 数据 库 最 大 内 存 来 对 其 进行 限制 。 一 般 建议 限制 为 实际 服务 器 内 存 的 
半 。 限 制 方法 有 两 种 ,分 别 如 下 。 

D 在 iMC 服务 器 上 命令 行进 入 iMC 安装 目录 Imc\client\bin\ ,执行 setsqlservermaxmem. 
bat -server ** -saPwd ** -maxMem *** 命令 来 设置 ,具体 执行 方法 如 图 8-137 所 示 。 


= 


client 


nt>cd bin 


pd [-maxMem maxmem] [-sal 


Password for 


- Max server 
User nam 
port - Listening port, default is 1433 


s\iMC\client\bin)setsqlservermaxmem.bat -server 127.0.0.1 -saPud 
ABA 
er me : 9000 [16, 21474836471 
from 9000 to 8000 


Program Files\iMC\client\bin> 
图 8-137 限制 方法 一 


@ 如 果 觉 得 执行 上 述 命 令 麻 烦 , 可 以 打开 数据 库 客户 端 SQL Server Management 
Studio, 连 接 数 据 库 实例 。 在 实例 名 上 单 击 右 键 选择 “属性 "命令 后 选择 内 存 ,在 “最 大 服务 器 
内 存 ” 处 输入 要 设置 的 最 大 数 即 可 ,如 图 8-138 所 示 


Wierosoft SOL Server Banscement Stadio 


XET MED FEV WID IAT FOV 社区 C5) MMW 


amman D DDED aag 
E | C | Ss - Om 


is. 3; 92 z Y Zl 
5 pannuun 服务 器 内 存 选 顺 


F 使 用 ME 分 本 内 存 人 


最 小 服务 号 内 存 6) m) 
J EJ 
RARESA OB) 0) 


memme 
人 索引 占用 的 闪存 03，0 = 动态 内存) O) 
p a 
SARAMMA 02) Q) 
SENE fo | 


图 8-138 ”限制 方法 二 
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说 明 : 这 两 种 方法 设置 完成 后 都 需要 重新 启动 数据 库 服 务 使 之 生效 。 

7. 扩大 前 台 内 存 

IMC 分 为 前 台 和 后 台 两 部 分 ,前 台 的 主 程序 就 是 jserver. exe 进程 。 为 了 平衡 性 能 iMC 
预先 已 经 限制 pi 所 以 如 果 服 务 器 本 身 的 内 存 利用 率 已 经 不 高 
了 ,但 是 页 面 还 是 响应 缓慢 ,可 以 将 前 台 进 程 可 用 的 内 存 限 额 扩 大 一 点 。 扩 大 方法 如 下 。 

在 iMC 服务 器 中 打开 命令 行 窗口 ,并 进入 iMC 安装 目录 Imc\client\bin\ 目 录 , 执 行 
setmem. bat $ maxMemorySize $ maxPermSize, 具 体 如 图 8-139 所 示 。 


4996 1024 


o 1024m 


图 8-139 扩大 前 台 内 存 

说 明 : 

D 如 果 系 统 是 32 位 的 ,maxMemorySize /maxPermSize 设置 不 应 超过 1024/512, 6 MA 
导致 jserver. exe 进程 无 法 启动 。 

@ 设置 完成 后 必须 重启 jserver. exe 进程 使 之 生效 。 

8. 是 否 只 有 设备 详细 信息 页 面 慢 

单 击 设备 标签 进入 设备 详细 信息 页 面 时 iMC 会 通过 SNMP 读 取 一 下 设备 的 最 新 信息 ， 
所 以 如 果 SNMP 参数 配置 错误 ,就 会 导致 这 个 页 面 (通常 是 右 侧 那 几 栏 ) 显 示 缓 慢 。 

9. 修改 SNMP 参数 一 臻 

在 设备 详细 信息 页 面 单 击 “配置 ">“ 修 改 SNMP 参数 ”填写 SNMP 读 写 团体 字 , 完 成 后 
单 击 “ 测 试 " 按 钮 确保 测试 成 功 ,如 图 8-140 所 示 。 


J ES > H3C(10153.42.81) w 1u.123.4z.3o/imc/resrparatemp'ate/snmpyseiectjsr - uoogie v... pm 


D 10.153.42.56/imc/res/paratemplate/snmp/select.jsf 


设备 标签 Harsa 手工 编辑 SNMP 参 数 

nezi Fi 成 功 

设备 状态 正 党 snam’ NMP Y 

Ip 地 址 4015342381 Ee 测试 设 备 “H3C(10.153.42.81)” 的 
a re nEmA? [public P 参 数 成 功 . 

RE 255.255.255.0 [private 

sysOID 1.3.6.1.4,1.25506.1.348 608) `R 

设备 型 号 H3C SecPath ACG2000-M = 


: === = 
H3C i-Ware Platform Softwa 


Copyright (c) 2004-2012 Ha 下 


图 8-140 ”有 “测试 "按钮 情况 


如 果 MC 版 本 较 老 ,可 能 没有 “测试 "按钮 ,此 时 可 以 在 单 击 “ 资 源 ”>“ 批 量 操作 ”一 “ 校 验 
访问 参数 ”命令 后 , 校 验 一 下 iMC 和 设备 的 SNMP 参数 是 否 一 致 ,如 图 8-141 所 示 。 
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TAR > 批量 操作 > 校 验 访问 参数 


选取 设备 
= 
状态 设备 标签 类 型 设备 型 号 " 
° 10.153.42.83(10.153.42.83) 安全 设备 H3C SecPath F1000-E 1 
检查 项 
SNMP [C] Telnet [ ] ssH 
调度 信息 
调度 信息 立即 执行 - 
= 


8-141 无 “测试 ?按钮 情况 


10. 收集 信息 

如 果 以 上 步骤 都 无 法 解决 页 面 慢 问题 ,请 收集 相关 信息 反馈 华 三 售后 技术 支持 中 心 处理 。 
需要 的 信息 如 下 。 

O 响应 缓慢 的 页 面 截图 ,并 说 明 是 哪些 页 面 或 进行 哪些 操作 时 响应 缓慢 。 

© iMC 前 台 日 志文 件 imc\client\log\imcforeground. log。 

@ iMC 版 本 。 

拨打 热线 400-810-0504 寻求 帮助 。 


É jf Portali fa 


Ah VE PY 3⁄7 


imchk £ X, KuPortal 
ii A 
可 未 性 检查 


二 维 码 认 证 
使 用 方法 合理 性 
É fa Portali fa AA 


证 可 用 此 检查 


拨打 热线 
400-310-0504 
4r 
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munasa 有 8.1.18 访客 二 维 码 认 N um: 
08 iMC 管理 软件 8.1 业务 软件 : iMC 证 故障 排查 步骤 详解 


1. 开始 

IMC 访客 二 维 码 认证 方案 将 新 兴 的 二 维 码 技术 融和 人 访客 认证 的 流程 中 , 极 大 地 方便 了 智 
能 终端 接 人 Wi-Fi 网 络 。 apap AA 认证 相 结合 KAT B HE 43 
二 维 码 审 批 、 自 动 认证 的 快速 认证 。 扫 描 二 维 码 认 证 功能 与 Portal 认证 相 结合 ,实现 了 一 键 
注册 ,扫描 二 维 码 即 可 自动 认证 的 快速 认证 。 

IMC 访客 二 维 码 认证 方案 排 错 定位 思路 : 首先 检查 服务 器 软 硬 件 及 性 能 是 否 满足 当前 认 
证 需要 ,然后 需要 确保 普通 Portal 网 页 能 正常 上 线 ,相应 做 iMC 服务 器 的 检查 、 访 客服 务 、 访 
客 策略 ,访客 管理 员 .访客 系统 参数 配置 的 检查 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

需要 对 照 ( 智 能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 》, 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 我 们 推荐 的 运行 iMC 最 基本 的 部 署 要求 , 请 严格 执行 。 

O 对 照 4 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 》 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、Portal 网 页 在 线 数量 多 , 需 考 虑 是 否 根据 (智能 管理 中 心 CiMC ) 部 
署 和 硬件 配置 方案 》 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 ,重点 需要 检查 内 存 占用 是 
否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 计 算出 的 要 求 , 操 作 系 
统 和 数据 库 是 否 为 64 位 ,建议 使 用 64 位 系统 。 

O 单 击 “ 开 始 ” 一 "智能 部 署 监 控 代 理 ” 命 令 ,选择 部署” 标签, 检查“ 用户 接 入 管理 ”功能 
模块 及 “Portal 服务 器 ”功能 模块 是 否 已 经 部 署 .如 图 8-142 所 示 。 


看 智能 部 署 监 控 代 理 
监控 | 进程 -部署 | 运行 环境 | 
[ m 


S 网络 流 里 分 析 服务 对 网 络 流 量 信 息 提供 多 角度 的 统计 分 析 功 能 。 MCAT 0 OSN ER 
O 网 络 流量 分 析 服务 对 网 络 流量 信息 提供 乡 角 度 的 统计 分 析 功能 。 lic TA T 1 (O... RAN 
间 应 用 管理 用 于 监视 不 同 种 类 北 务 的 应 用 程序 和 服务 。 i APLT 1 (E0. 已 部 署 FR 


用 户 接 入 管理 - ETP 服务 器 提供 终端 智能 识别 功能。 ic EIP 7 1 (FO. 
O 用 户 接 入 管理 -ETP 从 服务 器 。 部 署 在 FTP 服 务 器 之 外 的 其 他 服务 器 上 ， 分 担 终 .. inc ETP 7.1 0... 未 部 署 

S 用 户 接 入 管理 - 策略 服务 器 。。 提供 安全 认证 的 功能 * ic UM 7.1 Œ0... CRR ER 
9 用 户 接 入 管理 - 策略 代理 服务 器 提供 对 安全 认证 报 文 的 转发 功能 。 inc VAN 7 1 (O... CBF ER.. 
J 用 户 接 入 管理 - 用 户 自助 服务 提供 用 户 资料 的 自助 查询 和 维护 的 功能 。 ic U 7 1 (E0. .已 部 署 ER 
@ 用 户 接 入 管理 - 用 户 接 入 管 .. 。 部 署 在 用 户 接 入 管理 服务 器 之 外 的 其 他 服务 器 上 . . Wc VAN 7.1 (D 
EJ s asss paoa 用 于 发 布 操作 员 完全 .. 。 iMC VAN 7 1 ŒO. 


$ EECE ER i 


图 8-142 各 功能 模块 部 署 情况 


说 明 : 访客 二 维 码 认 证 方案 基于 Portal 网 页 认证 , 故 必须 安装 部 署 EIA 功能 组 件 及 
Portal 服务 器 。 

(2) iMC 服务 器 运行 情况 检查 

O 打开 部 署 监控 代理 ,查看 uam. exe, portalserver, uamjob 进程 是 否 正 常 启动 。 由 于 二 
维 码 认证 基于 网 页 Portal 认证 , 故 必须 确认 Portal 服务 器 上 的 jserver/webserver 进程 正常 启 
动 ,如 图 8-143 所 示 。 
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UETTITTEGU [IE] 
监控 进程 | 部 团 | 运行 环境 | 


进程 状态 位置 CPVW%) | 内 存 0m) SEWA 类 型 | 启动 模式 
© um. exe 已 经 启动 ” 本 机 0 7, 092 2015-03-09 15:55:17 可 管理 进程 “自动 ` 
© apaserver 已 经 启动 ” 本 机 0. 208, 695 2015-03-09 15:54:58 可 管理 进程 ”自动 


1 
Q binsserver 已 经 自动 ” 本 机 O 791, 444 2015-03-09 15:54:58 可 管理 进程 ”自动 
© damserver 已 经 生动 本 机 0 671,412 2015-03-09 15;54:56_ 可 管理 进程 ”自动 
O enoserver 已 经 启动 ë 本 机 0 “738, 600 2015-03-09 15:54:58 可 管理 进程 ”自动 
O :nonanagent 已 经 启动 本 机 0 ”710,272 2015-03-09 15:54:58 可 管理 进程 ”自动 
° ži 0 

o 0 


euplat 967, 480 2015-03-09 15:54:58 可 管理 进程 自动 
707, 396 2015-03-09 15:54:58 可 管理 进程 自动 
0.26 322,952 2015-03-09 15:54:58 可 管理 进程 自动 
476 2015-03-09 15:54:58 本 管理 进程 ”自动 
840, 288 2015-03-09 15:54:58 可 管理 进程 ”自动 
O saplet 已 经 启动 954, 304 2015-03-09 15:54:58 可 管理 进程 ”自动 
O -nabserver 已 经 启动 ” 本 机 966, 008 2015-03-09 15:54:56 可 管理 进程 “自动 
O nschapv2zxerver 已 经 自动 本 机 0 946,200 2015-03-09 15:54:58 可 管理 进程 ”自动 
© usaThirakuth 已 经 启动 ” 本 机 O 741,0242015-03-09 15:54:58 可 管理 进程 自动 
€ ü 0 691, 398 2015-03-09 15:54:58 可 管理 进程 ”自动 


ispserver 
© wbaserver 


Q sipserver 已 经 启动 本 机 


图 8-143 各 进程 正常 启动 情况 


说 明 : 

(a) 一 般 情 况 下 ,这些 进 程 通过 和 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 

(b) JServer Æ Portal 组 件 集 中 式 部 署 时 所 需 关注 的 进程 ; WebServer 为 Portal 组 件 分 
布 式 部 署 时 ,在 从 机 上 需要 确认 的 进程 。 

@ 检查 服务 器 1812、1813、50100、50200 UDP 端口 是 否 被 uam 相关 进程 所 监听 ,如 图 8-144 
所 示 。 


netstat -aonifind 


UDP 172.16 .199.12! 


e :59199 
UDP 7 9 580100 


lc: netstat i :50200 
UDP 172.16.100.122:50200 *:= 20308 


E Tinio: HSEEE 
XPD HAW SEV HHW 


应 用 程序 进程 | 性 能 | 联网 | 用 户 | 


用 户 各 


SYSTEM 

00 856 K Administrator 2, 
eocm. exe #32 00 21,300 K SYSTEM 16, 
O 13,42 K SIST 318, 
Javar exe Z03T 00 140,8S2 K SYSTEM 395, 
imcwipsdm. exe *32 00 19,004 K SYSTEM 14, 
uam. exe #32 00 4,640 K SYSTEM 1, 
tftpserver. exe *32 00 13.516 K SYSTEM T 


图 8-144 各 端口 被 uam 相关 进程 监听 情况 


说 明 : 
(a) Windows 操作 系统 中 ,通过 
netstat-aon | findstr :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID。 
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举例 : 对 于 命令 提示 符 回 显 ,如 图 8-145 所 示 。 


8-145 ”命令 提示 符 回 显 


其 中 第 一 列 UDP 所 指 监听 的 协议 ,第 二 列 10. 153. 43. 100:1812 所 指 监听 的 服务 器 的 IP 和 
端口 号 ,第 三 列 * :x* 代表 此 行 信息 为 监听 状态 ,最 右 一 列 8780 代表 此 协议 监听 的 进程 PID。 

(b) 查 到 端口 所 对 应 的 进程 PID 后 ,请 查看 Windows 任务 管理 器 ,1812/1813 端口 所 对 
应 的 应 为 uam 相关 的 进程 ,50100/50200 所 对 应 的 为 java 进程 。 

(3) iMC 服务 器 和 Portal 设备 .终端 可 达 性 检查 

二 维 码 认证 基于 Portal 网 页 认证 ,而 Portal 认证 是 对 上 行 流量 的 认证 ,并 且 需 要 和 Portal 服 
务 器 通信 交互 Portal 报 文 。 对 于 没有 禁 ping 的 环境 ,在 认证 上 线 之 前 终端 PC 是 可 以 和 Portal 
所 在 服务 器 可 达 的 。 分 别 从 iMC 服务 器 上 ping 接 入 设备 IP Portal 设备 IP 和 终端 IP。 

(4) 普通 Portal 网 页 认证 可 用 性 检查 

Portal 认证 Portal 在 英语 中 是 人口 的 意思 。Portal 认证 可 以 使 用 iNode 客户 端 或 Web 
网 页 认证 ,一 般 将 Portal 认证 网 站 称 为 门户 网 站 。 基 本 思想 : 未 认证 用 户 上 网 时 ,认证 设备 会 
强制 用 户 登 录 到 特定 Web 站 点 ,用 户 可 以 免费 访问 该 Web 站 点 的 服务 。 当 用 户 需 要 使 用 互 
联网 中 的 其 他 信息 时 ,必须 在 门户 网 站 进行 认证 ,只 有 认证 通过 后 才 可 以 使 用 互联 网 资源 。 
Portal 业务 可 以 为 客户 提供 方便 的 管理 功能 ,门户 网 站 可 以 开展 广告 .社区 服务 等 个 性 化 业 
务 ,为 了 方便 客户 对 门户 网 站 的 个 性 化 定制 。 

Portal 无 感知 认证 必须 基于 Web 网 页 认证 ,基于 iNode 认证 无 法 实现 Portal 无 感知 , 故 
在 实施 Portal 无 感知 认证 前 ,必须 确保 普通 Portal 网 页 认证 正常 ,再 进行 Portal 无 感知 的 配 
置 。 有 关 普 通 Portal 认证 的 排查 思路 ,请 参考 云图 《UAM Portal 认证 排 错 》。 

(5) 二 维 码 认证 页 面 配置 

二 维 码 认证 推送 的 登录 页 面 和 普通 Portal 登录 页 面 有 所 不 同 , 需 要 配置 专门 的 二 维 码 认 
证 页 面 ,如 果 所 在 的 Portal 端口 组 中 未 绑 定 二 维 码 认证 页 面 , 则 可 以 按照 如 下 方法 进行 配置 。 

D 单 击 左 侧 导 航 树 中 的 “ 接 入 策略 管理 ”>“Portal 服务 管理 ”设备 配置 ”命令 ,进入 如 
图 8-146 所 示 页 面 。 


FSC Intelligent Management Center Lim Aawe Oan (=+ Oma 
Wojna 资源 用 户 业务 as s seen [ses 引 
mese S 到 17 AP > RASEER > PoiniRS ER> 放权 要 wman Oev 
RAMPER x esaeas 
assa x 设备 各 | “t 
| si m Than =] za 
APRABRG 
a 
PAMAN asse CE Pat 1 —— TRGE et 
ommes z rem = T 
G mresa > Sara 
z= 19013101 +T SER 省 
n 9011 二 s... 
ppg 221 +T Sari 
raa 190330017 ATR 
ass 190130181 pn 
= 190130351 + 
B ms 1904320014 *r= 
' 二 
a azuiwa 
A suasa 


图 8-146 “Intelligent Management Center” Ut [BI 
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© 在 Portal 设备 列表 中 ,选择 Portal 设备 对 应 的 你 链接 ,打开 * 端 口 组 信息 配置 "对话 
框 ,如 图 8-147 所 示 。 
©ua 


BE MP > WAREER > PotalBS ER > 设备 号 车 > MORTARE 


moe I 
FNO >= " 
2 — x. 


manu 


womg e FRRO 人 RO ç 


190.130.8.0-pap o am i 


图 8-147 选择 Portal 设备 对 应 的 链接 


@ 在 Portal 端口 组 列表 中 单 击 “ 增 加 ”按钮 ,或 单 击 Portal 端口 组 对 应 的 图 链接 ,打开 * 增 加 
端口 组 信息 ?对 话 框 , 如 图 8-148 所 示 。 


区 MP > 撞 入 第 咯 备 理 > Pots 299 > 设备 配置 > mrmism gi > 增加 油 口 相信 息 


OMGE ° EJ 
用 户 城 各 moame 
FSMAE FEB z EPRENEN - = = 
namme [— — ER ZE] 


图 8-148 Mit Portal 端口 组 对 应 的 链接 
@ 配置 Portal 端口 组 默认 认证 页 面 : 单 击 "*PC” 一 “二 维 码 开 户 与 认证 ”命令 ,其 他 参数 : 


与 通用 的 Portal 认证 配置 相同 。 
@ iMC EIA 提供 了 终端 页 面 定 制 功能 ,用 户 也 可 以 根据 需要 自行 基于 模板 定制 二 维 码 认 


证 页 面 ,如 图 8-149 所 示 。 
RAP > 接 入 策略 管理 > 余 广 页 面 定制 > Portal 页 面 定制 > 增加 Portal 定 制 页 面 


基本 信息 


8-149 ”终端 页 面 定制 
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(6) 二 维 码 访客 管理 员 配 置 检查 

访客 管理 员 通 过 自助 页 面 进行 访客 审批 时 ,会 区 分 访客 管理 员 的 权限 , 即 只 有 访客 预 注册 
时 所 选 的 访客 管理 员 或 超级 访客 管理 员 才 能 审批 。 而 二 维 码 审 批 没有 权限 约束 , 即 所 有 访客 
管理 员 可 以 扫描 任意 预 注册 访客 的 二 维 码 后 进行 审批 ,如 果 没 有 配置 访客 管理 员 ,请 参考 如 下 
方法 配置 访客 管理 员 。 

O 使 用 admin( 或 其 他 拥有 权限 的 管理 员 / 维 护 员 ) 登 录 iMC 配置 管理 台 。 

© 选择 “用 户 ” 标 签 , 单 击 左 侧 导 航 树 中 的 “访客 管理 ”一 “访客 管理 员 ” 命 令 , 如 图 8-150 
所 示 。 


aw omeo os 


= | 1 Np» swan hmn Sun 


ea 一 | 
w. C ] me [ | 
amar arsu Es osrenan omo oam 
Dosu 
S db 二 
taw x 口 Lk Lu. = Mpou 。 OSTERAN 。 廊 喜 量 大 有 效 时 长 REFRREUA REFRREUFEF C puossmn 
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8-150 “用 户 ” 标 签 


O 在 访客 管理 员 列 表 中 , 单 击 “增加 ”按钮 ,如 图 8-151 所 示 , 访 客 管理 员 类 型 选择 “访客 
管理 员 ”, 所 管理 访客 的 最 大 有 效 时 长 配置 为 7 天 ,审批 提醒 方式 选择 “发 送审 批 提醒 短信 ”和 
“发 送审 批 提醒 电子 邮件 ”, 如 图 8-151 所 示 。 


A 用 户 > 访客 管理 册 > 增加 访客 管理 册 (OLLI 
DFEeAN ~ 
所 管理 沪 客 的 最 大 有 效 时 长 ü z -© 
pT Ea i 
共有 0 条 记录 。 
账号 名 e 用 户 各 = 用 户 分 组 m 
未 找到 符合 条 件 的 记录 ， 


8-151 访客 管理 员 列 表 


单 击 “ 选 择 接 入 用 户 ” 按 钮 ,弹出 如 下 图 所 示 的 窗口 。 使 用 查询 条 件 筛选 接 入 用 户 ,选中 接 
入 用 户 后 , 单 击 “确定 ”按钮 。 

(7) 指定 一 个 默认 访客 管理 员 

默认 访客 管理 员 在 自动 预 注册 时 使 用 ,不 影响 二 维 码 审 批 流程 ,因此 任意 指定 一 个 即 
可 。 如 果 系 统 中 已 经 存在 默认 访客 管理 员 , 则 无 须 再 指定 。 在 访客 管理 员 列表 中 , 单 击 某 
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个 访客 管理 员 对 应 的 默认 访客 管理 员 列 的 “ 否 ”链接 , 即 可 将 该 访客 管理 员 指 定 为 默认 访客 
管理 员 。 

(8) 二 维 码 访客 服务 配置 检查 

单 击 “ 用 户 ”>“ 访 客服 务 ” 命 令 后 检查 是 否 配置 了 访客 服务 ,如 果 没有 访客 服务 ,可 以 单 击 
“增加 ”按钮 ,进入 如 图 8-152 所 示 的 页 面 。 选 择 服务 后 , 单 击 “ 确 定 ” 按 钮 , 即 可 将 所 选 的 服务 
设置 为 访客 服务 。 


Jo MP > 沪 客 服务 > 增加 沪 客服 务 (o 
O Bsgo Rsc Bsmt BZES 默认 安全 策略 o itane 自动 转正 访客 服务 
O maei24 可 申请 mmae 不 人 用 caecouting z 
RR 


8-152 无 访客 服务 时 单 击 “增加 ”按钮 


在 访客 服务 列表 中 , 单 击 访客 服务 对 应 的 “ 否 ” 链 接 ( 见 图 8-153), 即 可 将 新 增 的 访客 服务 
设置 为 自动 转正 访客 服务 。 


Jo AP > 访客 服务 Aem Qu 
O Bge 状态 $ RSME 服务 后 强人 黑人 安全 策略 人 iwa 自动 转正 访客 服务 
[C 。 caccess-sever2 可 申请 chtest 不 人 用 FR * 

O sest 可 申请 330 不 使 用 Ai * 
D) wanamlao mes FER Fim z 
C caccess-.sever 可 申请 cyhtest 不 人 用 caccouting z 
口 carcess-sever! 可 申请 cyhtest CRER caccouting1 = 
O w 可 申请 cisco 不 用 Fite = 
O mp 可 申请 mac 不 使 用 Tit 理 
O wm 可 申请 2000 不 人 用 Tie = 
O ctam 可 申请 RENG caccouting z 
O w 可 申请 stporal 不 人 用 TR 是 
LIT aE FISSSE es TER Fite z 
O omaa 可 申请 不 人 用 +i = 
C sma 可 申请 :mac 不 借用 +i x 


图 8-153 自动 转正 访客 服务 


说 明 : 只 有 不 计 费 和 不 分 配 IP 地 址 的 服务 才 可 以 被 设置 为 访客 服务 。 

(9) 二 维 码 访客 策略 配置 检查 

访客 策略 包括 “访客 参数 配置 “访客 服务 列表 ”和 “访客 用 户 分 组 列表 ”3 个 配置 内 容 , 可 
以 根据 客户 具体 需求 配置 具体 的 访客 策略 参数 ,如 图 8-154 所 示 。 

说 明 : 

O 预 注册 访客 自动 转正 : 如 图 8-155 所 示 , 如 果 选 择 “ 允 许 ” 表 示 终 端 用 户 预 注册 为 访客 
后 自动 转正 ,而 不 需要 访客 管理 员 审 批 转正 。 如 果 选 择 “ 禁 止 ”" 表 示 需 要 访客 管理 员 审 批 后 , 预 
注册 访客 才能 转正 。 只 有 当 “ 访 客 管理 ”>“ 访 客 业务 参数 配置 ”中 的 “访客 预 注册 ”设置 为 “ 允 
许 ” 时 ,该 参数 才 和 生效。 允许 访客 自动 转正 时 ,必须 指定 默认 访客 管理 员 和 默认 访客 服务 。 在 
二 维 码 审批 方案 中 ,请 选择 “禁止 ”", 因 为 审批 场景 必须 由 相关 的 访客 管理 员 进 行 手工 转正 。 

O 访客 密码 通知 方式 : 选择 告知 访客 登录 密码 等 信息 的 方式 。 告 知 方式 包括 短信 和 电 
子 邮件 ,可 以 同时 选择 两 种 方式 。 如 果 告 知 方式 为 短信 , 则 需要 启用 短信 功能 ,详细 说 明 请 参 
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加 用 户 > 访客 策略 > 增加 访客 策略 
基本 信息 
策略 名 称 + Guestpolicy 
mE 
访客 参数 配置 
访客 服务 列表 
访客 用 户 分 组 列表 
E 
8-154 配置 访客 策略 参数 
基本 功能 
预 注册 访客 自动 转正 mat oi 
访客 密码 通知 方式 [v| 发送 密码 通知 短信 [| 发送 宅 码 通知 电子 凶 件 
访客 预 注册 后 显示 二 准 码 是 "° 
访客 生效 方式 手工 手 定 生效 时 间 * 
Portal TERRA EEA SES + 1 
RUSSAK * 2 天 z 
DEZEARK 天 ~@ 
BEEREN * 6 位 数字 o] 
访客 在 线 数 最 限制 默认 值 * $ 
访客 在 线 数量 限制 最 大 值 * 1 


8-155 ” 预 注册 访客 自动 转正 


见 短信 功能 配置 ; 短信 的 内 容 在 “消息 下 发 ”中 定制 。 如 果 告 知 方式 为 电子 邮件 ,邮件 的 内 容 
由 UAM 预 置 ,无 法 修改 ; 同时 只 有 在 iMC PLAT 中 配置 正确 的 邮件 服务 器 ,才能 成 功 发 送 
邮件 。 如 果 未 选择 任何 一 种 方式 ,表示 不 将 密码 通知 到 访客 。 

O 访客 预 注册 后 显示 二 维 码 : 访客 预 注册 以 及 预 注册 自动 转正 ( 除 BYOD 方式 ) 的 结果 
页 面 是 否 显 二 维 码 。 

@ 访客 生效 方式 : 如 果 选 择 “ 手 工 指定 生效 时 间 ” 表 示 访 客 管理 员 可 以 手工 指定 所 管理 
访客 的 生效 时 间 和 失效 时 间 , 如 果 选 择 “ 首 次 上 线 生 效 ” 表 示 访 客 首次 上 线 后 更 新 生效 时 间 和 
失效 时 间 。 除 了 移动 访客 管理 自助 平台 注册 的 访客 ,其 他 方式 注册 的 访客 转正 时 ,访客 生效 时 
间 都 受 该 参数 控制 。 

@ Portal 无 感知 认证 最 大 绑 定数 : 如 果 设 置 为 0 一 255 表示 使 用 该 账号 进行 Portal 无 感 
知 认 证 的 终端 数 不 能 超过 所 设置 的 值 。0 表示 不 支持 绑 定 。 只 有 当 “ 访 客 管理 ”>“ 访 客 业 务 
参数 配置 ”中 的 “访客 预 注册 ”设置 为 “允许 ”时 ,该 参数 才 生 效 。 

© 默认 访客 有 效 时 长 : 输入 默认 情况 下 ,访客 的 有 效 时 长 。 注 册 访 客 时 ,如 果 未 设置 或 
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无 法 设置 失效 时 间 , 则 访客 的 失效 时 间 取 该 参数 和 “所 管理 访客 的 最 大 有 效 时 长 ”的 较 小 值 。 
“所 管理 访客 的 最 大 有 效 时 长 ”在 增加 访客 管理 员 时 配置 ,具体 请 参见 增加 访客 管理 员 。 

@ 访客 密码 有 效 时 长 : 输入 访客 密码 的 有 效 时 长 ,从 访客 生效 时 开始 计算 。 访 客 只 在 密 
码 失 效 前 才能 接 入 网 络 。 如 果 该 参数 保持 为 空 , 则 表示 访客 密码 永 不 失效 。 

访客 密码 生成 规则 : 系统 自动 生成 访客 密码 的 规则 。UAM 支持 3 种 规则 , 即 n 位 数 
字 \n 位 字母 和 n 位 数字 十 字母 的 组 合 。 该 规则 对 访客 注册 过 程 中 手工 输入 的 密码 无 效 。 

@ 访客 在 线 数量 限制 默认 值 : 输入 访客 注册 页 面 中 “在 线 数 量 限制 "默认 显示 的 值 。 

四 访客 在 线 数量 限制 最 大 值 : 输入 访客 注册 页 面 中 “在 线 数 量 限制 ”可 以 配置 的 最 值 。 

(10) 二 维 码 认证 使 用 方法 合理 性 检查 

iMC 访客 二 维 码 认证 主要 有 以 下 两 种 应 用 方式 。 

O 审批 二 维 码 : 访客 访问 任意 站 点 被 重 定 向 到 二 维 码 注册 和 认证 页 面 , 并 自动 进行 预 注 
册 和 生成 审批 二 维 码 。 访 客 管理 员 直 接 扫 描 二 维 码 进入 审批 页 面 并 对 访客 进行 审批 ,审批 完 
成 后 ,访客 即 可 自动 接 入 网 络 。 

@ 认证 二 维 码 : 访客 管理 员 在 移动 访客 管理 自助 平台 中 创建 访客 ,并 生成 认证 二 维 码 。 
访客 直接 扫描 二 维 码 即 可 完成 认证 。 

在 这 两 种 方式 下 ,iMC 中 访客 相关 的 配置 基本 相同 ,差别 在 于 实际 的 使 用 流程 不 同 。 

在 完成 二 维 码 认 证 环境 的 实施 后 ,如 何 使 用 二 维 码 认 证 格外 重要 ,如 果 您 对 二 维 码 的 使 用 
流程 存在 疑问 ,请 参考 如 下 操作 流程 。 

审批 二 维 码 方案 使 用 流程 

第 1 步 , 访客 连接 Wi-Fi, 

访客 使 用 智能 终端 A( 访 客 自 带 的 智能 终端 ) 连 接 SSID。 打 开 浏 览 器 ,访问 任意 地 址 。 浏 
览 器 自动 跳 转 到 二 维 码 开户 和 认证 页 面 ,并 自动 完成 访客 预 注册 且 在 页 面 上 显示 审批 二 维 码 ， 
如 图 8-156 所 示 。 
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8-156 ”显示 审批 二 维 码 


第 2 步 ,访客 管理 员 审 批 。 

访客 管理 员 使 用 智能 终端 B( 访 客 管理 员 的 智能 终端 ) 扫 描 智 能 终端 A 上 的 二 维 码 ,智能 
终端 B 直接 进入 移动 访客 管理 自助 平台 进行 审批 ,如 图 8-157 所 示 。 

在 访客 审批 页 面 ,直接 单 击 “ 转 正 ”, 即 可 将 预 注册 访客 转正 。 

第 3 步 ,访客 上 线 时 间 。 

如 果 访 客 在 智能 终端 A 上 生成 审批 二 维 码 未 超过 1 分 钟 , 则 访客 管理 员 在 智能 终端 B 上 
审批 完成 后 的 5 秒 钟 内 ,智能 终端 A 自动 进行 Portal 认证 并 上 线 ,结果 如 图 8-158 所 示 。 

如 果 生 成 审批 二 维 码 已 经 超过 1 分 钟 ,智能 终端 A 上 会 显示 如 图 8-159 所 示 的 失败 信息 。 
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图 8-157 访客 管理 员 审批 


请 单 击 “ 重 试 ?链接 即 可 完成 上 线 。 

@ 认证 二 维 码 方案 使 用 流程 

第 1 步 ,访客 管理 员 注册 访客 。 

访客 管理 员 在 智能 终端 B( 访 客 管理 员 的 智能 终端 ) 上 使 用 浏览 器 输入 http://ip: port/ 
selfservice/mlogin. jsf( 移 动 访客 管理 自助 平台 的 URL) ,打开 登录 页 面 , 如 图 8-160 所 示 。 


000:00:03 访客 管理 自助 平台 


二 着 仲代 全 参考 ,不 你 为 


账号 名 
" @ 
密码 
图 8-158 访客 上 线 时 间 
Baz 
< = m 会 


图 8-159 审批 二 维 码 已 经 超过 1 分钟 图 8-160 访客 管理 员 注 册 访 客 
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输入 访客 管理 员 账 号 /密码 后 进入 管理 平台 。 单 击 页 面 下 方 的 “访客 注册 ”按钮 ,然后 单 击 
在 页 面 右上 角 的 “快捷 注册 ”按钮 ,弹出 确认 提示 ,如 图 8-161 所 示 。 


图 8-161 “快捷 注册 ”对 话 框 


单 击 “ 是 ”按钮 完成 访客 注册 ,并 进入 结果 页 面 。 结 果 页 面 中 显示 了 认证 二 维 码 , 如 图 8-162 
所 示 。 

第 2 步 ,访客 扫描 上 线 。 

访客 使 用 智能 终端 A( 访 客 自 带 的 智能 终端 ) 连 接 网 络 。 扫 描 上 图 的 二 维 码 完成 认证 并 上 
网 。 扫 描 完 成 后 ,直接 跳 转 到 认证 成 功 页 面 ,如 图 8-163 所 示 。 


oc00:00:02 
本 时 种 公 供 参考 ， 不 作为 计 和 依据 。 
全 己 经 建立 宴 沉 上 网 的 连接 。 如 提要 续 使 用 昌 带 上 网 功 
L 
T 
成 功 注册 访客 "1404221826244134”, ADNIA 
访问 网 络 。 
a =< L.I * < = € * 


图 8-162 ”结果 页 面 图 8-163 访客 扫描 上 线 
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1. 开始 

WLAN( Wireless Local Area Network ,无 线 局 域 网 ) 是 计算 机 网 络 与 无 线 通 信 技 术 相 结 
合 的 产物 。 由 于 WLAN 在 部 署 时 不 需要 考虑 复杂 的 布线 .优化 和 变迁 ,因此 WLAN 系统 便 
于 搭建 和 使 用 ,具有 安装 便捷 、 高 移动 性 和 易 扩 展 等 特点 ,所 以 其 应 用 越 来 越 广泛 。 

WSM 射频 管理 根据 AP 的 Radio 类 型 .发射 功率 ,以 及 周围 环境 (混凝土 墙 \ 玻 璃 窗 、 门 
等 ) 对 无 线 信 号 衰减 的 影响 ,计算 和 绘制 AP 的 RF 覆盖 效果 图 ,支持 按 信号 强度 、 接 入 速率 、 
信道 3 种 方式 进行 展示 。 用 户 可 以 在 位 置 视图 拓扑 中 根据 实际 环境 增加 障碍 物 ,并 指定 障碍 
物 的 类 型 和 厚度 。 

实现 了 射频 管理 功能 后 ,用 户 可 以 方便 地 看 到 无 线 网 络 中 的 信号 覆盖 情况 和 信道 冲突 情 
况 , 进 而 通过 调节 Radio 的 发 射 功 率 和 信道 等 参数 ,使 无 线 网 络 中 的 信号 覆盖 达到 最 佳 效果 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

需要 对 照 4 智 能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 》, 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 ,请 严格 执行 。 

D 对 照 ( 智 能 管理 中 心 iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 , 当 网 络 中 管理 的 AP 数量 较 多 , 需 考虑 是 否 根据 (智能 管理 中 心 (iMC) 部 署 和 硬件 
配置 方案 ) 要 求 将 WSM 组 件 分 布 式 部 署 在 了 性 能 良好 的 服务 器 上 ,重点 需要 检查 内 存 占 用 是 
和 否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 》 计 算出 的 要 求 , 操 作 系 
统 和 数据 库 是 否 为 64 位 ,建议 使 用 64 位 系统 。 

© 单 击 “ 开 始 " 一 “智能 部 署 监 控 代 理 " 命 令 ,选择 "部署" 标签 ,检查 “无 线 业 务 管理 ”功能 
模块 是 否 已 经 部 署 ,如 图 8-164 所 示 。 


着 智能 部 署 监控 代理 


-资源 管理 对 网 络 中 的 路 由 器 、 交 摘 机 等 各 类 . ilC FLAT 7 1 (E0303F06) 已 部 署 


S ENETH - 吉 入 管理 对 网 六 进行 丰 障 监控 ， 及 时 分 析 排 ，iMC FLAT 7 1 (E0303F06) 已 部 署 ERSS 
将 智 有 管理 平台 -用户 自 助 朋 务 管理 — 对 ia 的 各 种 自助 务 提供 统一 管理 。 mc FLAT Ti 0303r06) DEE ERSE 
S ukumpa - ARRAES 对 来 下 天 号 进行 全 而 、 知 院 、 安全 iNC FLAT 7 1 (20303F06) 已 部 团 ERAS 
$ wiwaza - 智能 可 置 中 心 对 阿 设 和 进行 软件 升 银 、 设 备 卫 itc PDT T 1 (20303F06) DSF ERSS 
J 智 能 管理 平台 - 报表 管理 提供 各 类 业务 报表 的 发 布 、 映 示 和 iMc FLAT T 1 (E0303F06) 已 部 署 。 主 服务 器 
$ 智 管理 平台 - 网 元 管理 提供 对 数据 前 信 设 音 如 以 大 问 交换 MC PLAT T ! P0303F06) DSF +E 
J 智能 管理 平台 - 性 能 管理 对 隐 综 进行 性 能 监控 分 析 。 ic PLAT 7 1 (E0303P06) PNS ERAS 
$ 智能 管理 平台 - rumis ARRORA. 实现 网 络 教 ilC FLAT 7 1 (E0303F06) 已 部 署 BAS 
S URUTA - FRANE AOR RRMRRANT inc FIAT 7 1 C0303F06) PSS ERSS 
$ wicwieza - rehè IBI9FF8:p03S Sit. ARRE mc PLAT 7 1 (E0303F06】 DEF ERSS 
S GEURTS- 函 用 搜索 朋 务 管理 — 对 ia 的 通用 搂 索 北 务 提供 统一 管理 。 m FIAT 7 1 (E003F06) PSS ERAS 


$ 智 管理 下台 - sys1o 管 理 对 设备 sysle 进 行 收集 、 de. 分 mc FLAT 7 1 ooro) 已 部 署 ERNS 
进行 管 理 * CETIS 


PATARALSMORRR iNC NITI W0) ESF FESS 
J ASASEN- 分 去 问 上 管理 对 | 阅 中 的 Th-069 设 和 进行 管 理 。 ic am Ti On301) ESN ERSE 
S JAASER- 自动 天 服务 等 与 网 中 的 Tx-066 设 和 进行 交互 ，、 ;上 3785 T_ 1 20501) 已 部委 RSS 
I 分 去 问 点 管理 - 移动 分支 管理 提供 对 移动 分 去 设备 和 业务 的 管理 。 mc sms 7 1 mo 已 部 署 MAS — sj 


图 8-164 “无 线 业 务 管理 ”功能 模块 部 署 情况 


(2) iMC 服务 器 运行 情况 检查 
打开 部 署 监控 代理 ,查看 jserver.imcwlandm 进程 是 否 正常 启动 ,如 图 8-165 所 示 。 
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MEE 
Q isccindn exe 
O incenanerdn exe 
| Dineteata ere 
| Dinelztopoa exe 
O inclavpndn exe 
O isclocated exe 
O incmplsdn. exe 
O imcnplsvpadn. exe SeH 。 自动 
O in sd exe 可 管理 进程 — 自动 
| Q jincperfan exe 可 管理 进程 — 自动 
Dineaostm exe 可 管理 进程 — 自动 
© incsysloem. exe 可 管理 进程 。 自动 
Q inctetn exe 0 可 管理 进程 — 自动 
O incwen exe 0 可 管理 进程 — 自动 
O  incvlandn. exe 0 可 管理 进程 — 自动 
o imevnmdm, exe 0 32, 036 2015-06-23 09 可 管理 进程 自动 
O incvipsdm exe 3 0 20, 468 2015- 可 管理 进程 。” 自动 
| Vcc BH [l] TT SSS 2015 OS Z DS IS SS — PIEIPRI — Eizh 
imevlanperfdm exe 已 经 启动 0 33, 100 2015-06-23 09:15:59 PESHE 自动 
O ingere 已 经 启动 0 9, 084 2015- 核心 进程 自动 m 
(Q ispserver 0 Ë 
[>] 08 
michapv2zerver 已 经 启动 0 可 管理 进程 。 自动 
© policyserver 已 经 启动 0 可 管理 进程 — 自动 
© portalserver 已 经 启动 0 685, 100 2015-06-23 09:15:40 ”可 管理 进程 。 自动 到 
图 8-165 各 进程 启动 情况 
说 明 : 一 般 情 况 下 ,这些 进程 通过 和 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 
如 果 无 线 进程 imcwlandm 启动 失败 要 找到 i1MC\server\conf\log\imcwlandm. log H 


志 , 查 看 最 后 一 行 , 一 般 可 能 有 如 下 几 种 情况 。 

O 如 果 日 志 中 出 现 Initializ enviorment failed. 就 是 说 明 有 其 他 进程 占用 了 进程 
端口 。 检 查 服务 器 8080.9091.161.162.61616.61626 等 端口 是 否 被 iMC 相关 进程 所 监听 ,如 
图 8-166 所 示 o 


` proce 


ws SERS 
HE A0 EEV Mho 
0.0.0.0 s ; £ 应 用 程序 WE | 服务 。 | 性 能 


(::1:90' 


rs \Adn 


javar exe 3640 
javer exe 3632 
java. exe 3660 
java. exe 3872 


e 
1 
1 
1 
1 
1 
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A: 


1 
1 
1 
1 
1 
1: 
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Javar. exe 132 32440 


图 8-166 各 端口 被 MC 相关 进程 监听 情况 


Er: iMC 管理 软件 1019 


说 明 : 
(a) Windows 操作 系统 中 ,通过 
netstat -aon | findstr :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID。 
举例 : 对 于 命令 提示 符 回 显 , 如 图 8-167 所 示 。 


LISTENING 


LISTENING 


图 8-167 命令 提示 符 回 显 


其 中 第 一 列 TCP 所 指 监听 的 协议 ,第 二 列 0.0.0.0:9091 所 指 监 听 的 服务 器 的 IP 和 端口 
号 ,第 三 列 LISTENING 代表 此 行 信 息 为 监听 状态 ,最 右 一 列 21580 代表 此 协议 监听 的 进 
程 PID。 

(b) 查 到 端口 所 对 应 的 进程 PID 后 ,请 查看 Windows 任务 管理 器 ,9091 端口 所 对 应 的 应 
为 JServer 相关 的 进程 ,61616/61626 所 对 应 的 为 部 署 监控 代理 相关 进程 。 

© 如 果 日 志 中 出 现 CWlanDBOper: :getWlanDataDB error, db opt error!! ,这 个 错误 表 
示 启 动 查 表 时 失败 ,看 这 条 语句 的 前 三 行 ,分 析 SQL 语句 是 哪 种 错误 。 分 析 不 明白 的 需要 拨 
打 400 电话 寻求 技术 支持 。 

© 有 一 种 情况 只 针对 Linux 的 环境 ,如 果 出 现 imcwlandm 进程 启动 失败 ,并 且 没 有 无 线 
后 台 日 志 。 这 时 候 需 要 在 shell 中 执行 启动 脚本 ,看 一 下 具体 失败 原因 。 在 WSM 7. 0 
E0202P03 及 之 后 版 本 ,在 iMC/server/bin 文件 夹 下 都 有 一 个 start_wlan. sh 文件 。 没 有 的 
话 , 可 以 通过 使 用 这 里 提供 的 start_wlan. sh 文件 ,在 当前 目录 中 执行 . /start_wlan. sh 命令 。 

示例 : 使 用 start_wlan. sh 脚本 启动 时 ,显示 load libfreebl3. so 错误 ,缺少 这 个 文件 。 解 
决 办 法 就 是 从 正常 的 Linux 机 器 中 ,/usr/lib/ 目 录 下 拷贝 libfreebl3. so 文件 到 该 局 点 Linux 
相同 目录 下 。 

(3) 确认 使 用 哪 种 场景 和 相关 组 网 方式 

@ {EH AC + Fit AP 进行 射频 管理 配置 ,请 转 至 (4) 继 续 排查 。 

应 用 场景 : 用 户 已 经 搭建 了 无 线 网 络 ,部 署 好 AP., 希 望 从 iMC 网 管 中 看 到 无 线 网 络 中 的 
实际 信号 覆盖 情况 。 比 如 : 某 学 校 的 教学 楼 一 楼 已 经 部 署 了 无 线 网 络 。 

组 网 环境 需求 如 下 。 

(a) 管理 主机 、 服 务 器 集群 .ACCWX5004) 路 由 可 通 。 

(b) AP 在 AC 上 上 线 , 状 态 正常 。 

(c) 服务 器 集群 运行 iMC, 并 有 WSM 组 件 射频 管理 典型 配置 组 网 图 (AC 十 Fit AP), 如 
图 8-168 所 示 。 

© 使 用 虚拟 AP 进行 射频 管理 配置 ,请 转 至 (5) 继 续 排 查 。 

应 用 场景 : 用 户 已 经 搭建 了 无 线 网 络 ,需要 进行 扩容 的 情况 。 比 如 : 某 学 校 的 教学 楼 一 
楼 和 二 楼 已 经 部 署 了 无 线 网 络 ,打算 在 三 楼 也 部 署 无 线 网 络 。 由 于 三 楼 和 其 他 楼 层 的 建筑 格 
局 不 一 样 ,用户 希望 在 实际 购买 前 ,能 够 进行 网 络 规划 ,得 到 需要 AP 的 型 号 和 数量 信息 以 及 
恰当 的 摆 放 位 置 ,需要 使 用 WSM 网 规 功能 (虚拟 AP 射频 管理 ) 来 满足 相关 需求 。 
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8-168 WSM 组 件 射频 管理 典型 配置 组 网 图 


组 网 环境 需求 : 安装 .启动 iMC WSM. 

(4) 使 用 AC + Fit AP 进行 射频 管理 配置 的 排查 步骤 

按照 如 下 的 思路 检查 iMC WSM 射频 管理 的 配置 。 

O 检查 AC 网 管 配置 。 

© 检查 AC 是 否 加 入 iMC, WSM 是 否 正常 识别 AC 和 AP, 

© 按 如 下 步骤 检查 IMC WSM 射频 管理 配置 是 否 正 确 。 

(a) 检查 是 否 已 经 创建 位 置 视图 并 根据 实际 情况 添加 AP。 

(b) 打开 位 置 拓扑 ,检查 是 否 已 经 添加 背景 图 ,并 且 按照 实际 位 置 在 图 上 放置 AP。 

(c) 是 否 为 背景 图 设置 合适 的 比例 尺 。 

(d) 是 否 在 背景 图 上 据 实 添加 障碍 物 。 

(e) 是 否 可 以 正常 显示 信号 覆盖 范围 。 

具体 检查 配置 的 步骤 如 下 。 

O 检查 iMC 是 否 已 经 增加 设备 AC.AC 是 否 识 别 为 无 线 设 备 。 

在 iMC* 资 源 " 标 签 , 单 击 资源 管理 导航 树 中 的 “增加 设备 "命令 ,进入 增加 设备 页 面 ,正确 
填写 相关 参数 ,增加 设备 ,如 图 8-169 所 示 。 

确认 AC 的 设备 类 型 已 经 被 识别 为 无 线 设备 ,如 图 8-170 所 示 。 

© 检查 WSM 中 AC 是 否 增 加 成 功 ,.AP 是 否 自 动 增加 成 功 。 

在 WSM 的 资源 管理 ,无 线 控制 器 列表 中 ,查看 AC. AP 是 否 自动 增加 成 功 , 如 图 8-171 
所 示 。 

如 果 AC 设备 未 正常 识别 或 未 在 WSM 中 添加 成 功 ,请 参考 云图 (WSM 无 法 识别 或 同步 
AC 故障 排查 ?排查 。 

@ 检查 WSM 中 射频 管理 是 否 按照 如 下 步骤 进行 配置 。 

选择 “业务 ”标签 , 单 击 无 线 业 务 管理 导航 树 中 的 “视图 管理 ”菜单 组 中 的 “位 置 视图 ”命令 ， 


E> iMC 管理 软件 


1021 


登录 方式 Telnet 


| | 将 设备 的 Trap 发 送 到 本 网 管 系统 
[| 设 备 支持 Ping 操 作 @) 
Ping 不 通 也 加 入 @) 

| 将 LoopBack 地 址 作为 管理 IP 


中 配置 SNMP 参 数 


中 配置 Telnet 参 数 


小 配置 SH 参数 


图 8-169 增加 设备 页 面 


G) HR > dfdz705-1F1Xtest 


设备 详细 信息 


dfdz705-1F1Xtest iiz] 系统 名 称 
opz 联系 人 
10.153.6.254 位 置 
255.255.255.252 运行 时 间 
最 后 轮 询 时 间 
登录 方式 
接口 数量 


H3C Technologies Co., Ltd. All rights reserved. 


‘omware Platform Software H3C WX6103. Product Version Release 2509P39 Copyright (c) 2004-2015 Hangzhou 


dfdz705-1F1Xtest EPU] 

Hangzhou H3C Technologies Co, Ltd. UFZ] 
hgy0lh isz 

34 天 9 小 时 41 分 钟 20 秒 0 毫秒 

2015-07-02 19:12:12 

Telnet EORR 

174 接 口 列表 


图 8-170 ”确认 AC 的 设备 类 型 已 经 被 识别 为 无 线 设备 


s 业务 > 无 线 业务 管理 > 资源 管理 > 无 线 控制 器 列表 


门 8Sa ENTES 型 S$ IP 地 址 


$ AP 总 数 $ [APR Ç 移动 终端 人 
0O z= dfdz705-1F1Xtest H3C WX6103 10.153.6.254 61 42 38 


共有 1 条 记录 , 当前 第 1 - 1 , 第 1⁄1 页 。 


8-171 无 线 控制 器 列表 
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进入 位 置 视图 管理 页 面 ,如 图 8-172 所 示 。 


5 807 100200 


图 8-172 位置 视图 管理 页 面 
单 击 “ 增 加 ”按钮 ,进入 增加 位 置 视图 页 面 ,如 图 8-173 所 示 。 
[ sc uama | ` w—q c susasasasasasan,| 


H 3C rteiigent Management Center 


Qant WR MP 业务 
[esmae v| (uso ausma nan mme 


" 
vm | 
， 位 置 名 me ] 
temen CA ` 


(O zamn 热点 m 


图 8-173 ”增加 位 置 视图 页 面 


扩展 属性 。 

说 明 : 

(a) 位 置 类 型 包括 以 下 4 种 类 型 : 区 域 . 楼 宇 、 楼 层 和 房间 ,增加 位 置 视图 时 默认 为 “区 域 ” 
类 型 。“ 区 域 ? 类 型 的 位 置 视 图 可 以 增加 任意 类 型 的 子 位 置 视图 ;“ 楼 宇 ” 类 型 的 位 置 视图 只 能 
增加 “楼层 "和 "房间 ”类 型 的 子 位 置 视图 ;“ 楼 层 " 类 型 的 位 置 视 图 只 能 增加 "房间 ?类 型 的 子 位 
置 视图 ;“ 房 间 ” 类 型 的 位 置 视图 不 能 增加 子 位 置 视图 。 

(b) 设置 为 热点 的 位 置 视图 不 能 增加 子 位 置 视图 。 

单 击 “ 确 定 ” 按 钮 ,完成 增加 位 置 视图 ,如 图 8-174 所 示 。 

单 击 “21 楼 7 层 " 链 接 , 进 入 “ 子 位 置 ">“ 设 备 列表 ”页 面 .如 图 8-175 所 示 。 

单 击 * 增 加 到 本 位 置 ?按钮 ,打开 * 选 择 设备 ”窗口 。 可 以 根据 条 件 查询 AP. 

说 明 : 视图 中 已 经 存在 的 设备 ,不 会 再 出 现在 选择 设备 窗口 的 设备 列表 中 ,以 避免 重复 加 
入 设备 ,如 图 8-176 所 示 。 
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8-174 ”完成 增加 位 置 视图 
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8-175 设备 列表 页 面 


共有 5 条 记录 ,当前 第 1-5, M110. 每 页 显示 : 8 15 [50] 100 200 
CIC TT rr feeen | 
Hac WX5004 
DO $æ — 210121151) 210335A39D00A4000880 121451 BN ODRZI 
WX5004 
(180.7. 


H3C 
OTER ea “8 WA2610E-GNP 2401) 


Hac Wexsoo4 
WA1208E-GNP acnam 。 219801A0COQC11A000017 WA1208E GNP (1807.2101) 


ap1(11120100) 210235A42MB11B368000 11120.100 WA3620HAGN (1807.2101) 


四 

[a] 

n H3C WX5004 
口 


Hac WX5004 
ap2(11120101) 219801A0CLC11A000031 11.120.101 WA2610HGN — (1072109 


图 8-176 选择 设备 窗口 
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选中 位 置 视图 中 的 AP 前 的 复 选 框 , 单 击 “ 确 定 ” 按 钮 。 完 成 向 位 置 视图 中 增加 设备 ,如 
图 8-177 所 示 。 


as 


@besoanesnmosnamo 217E 


Q samera. 


ARMEE | 
| 二 加 有 [本体 理 | NECESE FI] 

共有 2 条 记录 ， 当 前 第 1-2， m nm. 

(os zanas- 

m su 


= 


r = 
21023544208118358000 H3C WA3620HACN 11.120.100 3ce536368000 
D $m 1120101 21980140CLC114000031 Hac WootoroN — 141120101 
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图 8-177 在 位 置 视 图 中 增加 设备 
单 击 “ 查 看 拓扑 ”链接 ,打开 位 置 视图 拓扑 ,如 图 8-178 所 示 。 


[Onne 


Hac wr cortar 


图 8-178 “查看 拓扑 ”链接 
打开 位 置 视图 拓扑 ,如 图 8-179 所 示 。 


图 8-179 位 置 视图 拓扑 
在 位 置 视图 拓扑 工具 栏 中 单 击 “ 添 加 背景 图 ”按钮 ,选择 背景 图 片 ,并 单 击 “ 设 置 ”按钮 。 
说 明 : 设置 拓扑 背景 图 有 两 种 方式 :“ 用 户 上 传 背 景 图 片 " 和 “从 背景 图 库 中 选择 ”,“ 用 户 上 
传 背景 图 片 ” 使 用 过 的 背景 图 片 自动 加 入 图 库 , 支 持 的 图 片 格式 、 大 小 、 尺 寸 等 要 求 见 页 面 提示 。 
单 击 “ 添 加 背景 图 ”按钮 ,如 图 8-180 所 示 。 
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Æ 8-180 单 击 “添加 背景 图 ”按钮 
设置 拓扑 背景 图 ,如 图 8-181 所 示 。 


RENAS - Mozilla Firefox 


( @Ə http://162.105.34.7:8080/Imc/opo/settopobgpicjsf 


设置 拓扑 青 最 图 
已 提示 
@ 图 片 文件 格式 支持 GIF、JPG、JPEG 或 从 1.3 版 本 开始 的 PNG 文 件 ， 其 地 格式 的 文件 可 能 无 法 正常 显示 。 


° 图 片 文件 大 小 不 能 超过 10MB , ER x1000。 
° 图 片 名 称 只 能 包 合 字母 、 数 字 、*_ 


O 用 己 上 传 背 景 图 片 © 从 背景 图 库 中 选择 MERDE HARES 


图 8-181 设置 拓扑 背景 图 


设置 背景 图 片 成 功 ,如 图 8-182 所 示 。 

单 击 右键 菜单 中 的 “设置 比例 尺 ” 命 令 , 按 住 鼠标 左 键 ,在 背景 图 的 两 点 之 间 画 一 条 线 , 放 
开 鼠 标 左 键 ,在 弹出 的 “指定 实际 长 度 ” 对 话 框 中 指定 这 两 点 间 的 实际 长 度 ,单位 为 米 。 

单 击 “ 设 置 比例 尺 ” 命 令 , 如 图 8-183 所 示 。 

“指定 实际 长 度 ” 对 话 框 ,如 图 8-184 所 示 。 

将 AP 拖 动 到 背景 图 中 实际 所 在 的 位 置 , 单 击 工具 栏 中 的 “保存 ”按钮 ,如 图 8-185 所 示 。 

增加 障碍 物 : 如 果实 际 位 置 视图 环境 中 存在 障碍 物 , 单 击 工具 栏 中 的 “增加 障碍 物 ” 按 钮 
增加 障碍 物 ,如 图 8-186 所 示 。 
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* 图 片 文件 大 小 不 能 超过 10MB ， 图 片 尺寸 不 观 娄 过 1000*1000. 
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O 用 户 上 传 背 晤 图 片 © NRRDEHER 


8-182 设置 背景 图 片 成 功 
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图 8-183 单 击 “设置 比例 尺 ” 命 令 
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8-184 “指定 实际 长 度 ” 对 话 框 
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图 8-185 将 AP 拖 动 到 背景 图 中 
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图 8-186 ”增加 障碍 物 
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在 “增加 障碍 物 ” 对 话 框 中 选择 合适 的 形状 、 类 型 ,指定 厚度 , 单 击 “ 确 定 ” 按 钮 开始 增加 ,如 
图 8-187 所 示 。 


厚度 (m) |03 


žk) 100 


8-187 “增加 障碍 物 ” 对 话 框 


设置 障碍 物 后 ,根据 实际 增加 障碍 物 ,增加 完成 后 , 单 击 “指针 工具 ”按钮 结束 增加 ,如 
图 8-188 所 示 。 
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图 8-188 ”结束 增加 


@ 检验 配置 结果 : 查看 信号 覆盖 范围 。 

在 位 置 视图 拓扑 中 , 单 击 右键 菜单 中 的 “显示 信号 覆盖 范围 ”命令 ,如 图 8-189 所 示 。 

按 信号 强度 显示 信和 号 覆盖 范围 , 单 击 鼠 标 左 键 可 以 显示 该 处 的 信号 强度 。 单 击 工具 栏 中 
的 “接收 灵敏 度 ” 按 钮 可 以 修改 查看 的 最 低 信 号 强度 。 

按 信号 强度 显示 信和 号 覆盖 范围 ,如 图 8-190 所 示 。 

各 级 信号 强度 对 应 的 颜色 用 户 可 以 进行 自 定义 ,设置 信号 强度 颜色 ,如 图 8-191 所 示 。 

按 速率 显示 信号 覆盖 范围 , 单 击 鼠 标 左 键 可 以 显示 该 处 的 速率 ,如 图 8-192 所 示 。 

各 级 速率 对 应 的 颜色 用 户 可 以 进行 自 定义 ,设置 速率 颜色 ,如 图 8-193 所 示 。 
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图 8-190 按 信号 强度 显示 信号 覆盖 范围 


图 8-191 


“设置 信号 强度 颜色 ”对 话 框 
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8-192 ”显示 速率 


8-193 “设置 速率 颜色 ”对 话 框 


按 信道 显示 信和 号 覆盖 范围 , 单 击 鼠 标 左 键 可 以 显示 该 处 的 信道 冲突 情况 。 对 于 有 信道 冲 
突 的 区 域 , 可 调整 AP Radio 的 功率 和 信道 等 配置 后 再 次 查看 信号 覆盖 范围 。 对 于 有 信道 重 
又 的 区 域 ,颜色 也 有 响应 的 释 加 颜色 效果 ,如 图 8-194 所 示 。 

各 信道 对 应 的 颜色 用 户 可 以 进行 自 定义 ,设置 信道 颜色 ,如 图 8-195 所 示 。 

(5) 使 用 虚拟 AP 进行 射频 管理 配置 的 排查 步 又 

按照 如 下 的 思路 检查 使 用 虚拟 AP 配置 MC WSM 射频 管理 (WSM 网 规 功能 ) 。 

O 检查 是 否 已 经 创建 位 置 视图 ,并 且 增 加 虚拟 AP. 

© 打开 位 置 拓扑 ,检查 是 否 添 加 背景 图 ,并 且 按 照 规划 位 置 在 图 上 放置 AP. 

@ 是 否 为 背景 图 设置 合适 的 比例 尺 。 

@ 是 否 在 背景 图 上 据 实 添加 障碍 物 。 
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8-195 “设置 信道 颜色 ”对 话 框 


O 检查 显示 信号 覆盖 范围 。 

具体 检查 配置 的 步骤 如 下 。 

O 检查 位 置 视图 是 否 按照 如 下 步骤 创建 并 配置 。 

选择 “业务 "标签, 单 击 无 线 业 务 管理 导航 树 中 的 “视图 管理 "菜单 组 中 的 “位 置 视 图 ”命令 ， 
进入 位 置 视图 管理 页 面 。 

单 击 “ 增 加 ”按钮 ,进入 增加 位 置 视图 页 面 ,如 图 8-196 所 示 。 
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图 8-196 增加 位 置 视图 页 面 
输入 位 置 名 ,如 “虚拟 AP 举例 ,选择 位 置 类 型 ; 选择 是 否 热点 ; 如 果 选 择 是 热点 ,设置 热 
点 扩展 属性 。 
WAA: 


(a) 位 置 类 型 包括 以 下 4 种 类 型 : 区 域 . 楼 宇 、 楼 层 和 房间 ,增加 位 置 视图 时 默认 为 “区 域 ” 
类 型 。 “区 域 "类 型 的 位 置 视 图 可 以 增加 任意 类 型 的 子 位 置 视图 ;“ 楼 宇 ” 类 型 的 位 置 视图 只 能 
增加 "楼层 " 和 "房间 "类 型 的 子 位 置 视 图 ;“ 楼 层 " 类 型 的 位 置 视图 只 能 增加 “房间 ”类 型 的 子 位 
置 视图 ;“ 房 间 ” 类 型 的 位 置 视图 不 能 增加 子 位 置 视图 。 

(b) 设置 为 热点 的 位 置 视图 不 能 增加 子 位 置 视图 。 

单 击 “ 确 定 " 按 钮 ,完成 增加 位 置 视图 ,如 图 8-197 所 示 o 
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图 8-19 完成 增加 位 置 视图 


E> iMC 管理 软件 1033 


单 击 “ 虚 拟 AP 举例 ” 行 的 “查看 拓扑 "链接 ,打开 位 置 视图 拓扑 ,如 图 8-198 所 示 。 
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图 8-198 “查看 拓扑 ”链接 
在 位 置 视图 拓扑 工具 栏 中 单 击 “ 添 加 背景 图 ”按钮 ,选择 背景 图 片 , 并 单 击 “ 设 置 ” 按 钮 ,如 
图 8-199 所 示 。 
HA: 设置 拓扑 背景 图 有 两 种 方式 :“ 用 户 上 传 背景 图 片 " 和 “从 背景 图 库 中 选择 ”,“ 用 户 


上 传 背景 图 片 ”使 用 过 的 背景 图 片 自动 加 入 图 库 , 支 持 的 图 片 格式 ,大 小 ,尺寸 等 要 求 见 页 面 
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8-199 添加 背景 图 
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选择 背景 图 ,如 图 8-200 所 示 。 
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8-200 选择 背景 图 

单 击 右键 菜单 中 的 “设置 比例 尺 " 菜 单 , 按 住 鼠标 左 键 ,在 背景 图 的 两 点 之 间 画 一 条 线 , 放 开 

鼠标 左 键 ,在 弹出 的 “指定 实际 长 度 ” 对 话 框 中 指定 这 两 点 间 的 实际 长 度 ,单位 为 米 , 如 图 8-201 
所 示 。 
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图 8-201 设置 比例 尺 


EG: P MC 管理 软件 1035 


“指定 实际 长 度 ” 设 置 ,如 图 8-202 所 示 。 


图 8-202 “指定 实际 长 度 ” 对 话 框 


如 果实 际 位 置 视图 环境 中 存在 障碍 物 , 单 击 工 具 栏 中 的 “增加 障碍 物 ” 按 钮 增加 障碍 物 , 如 
图 8-203 所 示 。 
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图 8-203 ”增加 障碍 物 
在 “增加 障碍 物 ” 对 话 框 中 选择 合适 的 形状 、 类 型 ,指定 厚度 , 单 击 “ 确 定 ” 按 钮 开始 增加 障 


碍 物 , 如 图 8-204 所 示 。 


厚度 (m) 


3eR(dB) 10.0 


图 8-204 “增加 障碍 物 ” 对 话 框 
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设置 障碍 物 后 ,根据 实际 增加 障碍 物 ,增加 完成 后 , 单 击 “ 指 针 工 具 ” 按 钮 结束 增加 ,如 
图 8-205 所 示 。 
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图 8-205 ”结束 增加 障碍 物 
© 检查 是 否 增加 并 正确 设置 了 虚拟 AP。 


在 位 置 视图 拓扑 中 , 单 击 右键 菜单 中 的 “增加 虚拟 AP 到 本 位 置 "命令 ,如 图 8-206 所 示 
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图 8-206 “增加 虚拟 AP AFE KA 
在 弹出 的 “选择 AP 型 号 "对话 框 中 选择 要 增加 的 AP 型 号 , 单 击 “确定 ?按钮 ,如 图 8-207 
所 示 。 
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8-207 “选择 AP 型 号 ”对 话 框 


在 背景 图 上 打算 放置 AP 的 地 方 单 击 鼠 标 左 键 放置 虚拟 AP, 按 Esc 键 结束 ,如 图 8-208 
所 示 。 
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图 8-208 {è Esc 键 结束 


在 虚拟 AP 上 单 击 右键 , 单 击 菜单 中 的 “修改 虚拟 AP? 命 令 ,如 图 8-209 所 示 。 

在 “修改 虚拟 AP” 对 话 框 设置 AP 名 称 , Radio 类 型 .信道 ,功率 以 及 天 线 和 角度 等 信息 
后 , 单 击 “ 确 定 ” 按 钮 ,如 图 8-210 所 示 。 

设置 完 虚 拟 AP 参数 后 , 单 击 “保存 ?按钮 。 
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8-209 “修改 虚拟 AP” 菜 单 


图 8-210 “修改 虚拟 AP” 对 话 框 
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O 检验 配置 结果 ,查看 信号 覆盖 范围 。 
在 位 置 视图 拓扑 中 , 单 击 右键 菜单 中 的 “显示 信号 覆盖 范围 ”中 的 命令 ,如 图 8-211 所 示 。 
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图 8-211 “显示 信和 号 覆盖 范围 > 菜单 


按 信号 强度 显示 信号 覆盖 范围 , 单 击 鼠 标 左 键 可 以 显示 该 处 的 信号 强度 。 单 击 工 具 栏 中 
的 “接收 灵敏 度 ” 按 钮 可 以 修改 查看 的 最 低 信 号 强度 ,如 图 8-212 所 示 。 


图 8-212 查看 最 低 信 号 强度 


按 速率 显示 信号 覆盖 范围 , 单 击 可 以 显示 该 处 的 速率 ,如 图 8-213 所 示 。 
按 信道 显示 信号 覆盖 范围 , 单 击 可 以 显示 该 处 的 信道 冲突 情况 。 对 于 有 信道 冲突 的 区 域 ， 
可 调整 AP Radio 的 功率 和 信道 等 配置 后 再 次 查看 信号 覆盖 范围 。 对 于 有 信道 重 全 的 区 域 ， 
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图 8-213 显示 速率 
颜色 也 有 响应 的 县 加 颜色 效果 ,如 图 8-214 所 示 。 
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图 8-214 显示 信道 冲突 情况 


说 明 : 对 于 有 信号 盲点 或 信道 冲突 的 区 域 ,可 再 次 调整 AP 位 置 ,Radio 的 功率 和 信道 等 
配置 后 再 次 查看 信号 履 盖 范围 。 
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8.1.20 iMC APM 数 
08 iMC 管理 软件 据 库 管 理 故 步骤 详解 
障 排查 


1. 开始 

iMC APM( 应 用 管理 ) 产 品 主要 应 用 于 企业 数据 中 心 网 络 ,对 数据 中 心 涉 及 应 用 服务 器 、 
数据 库 、 操 作 系统 .邮件 服务 器 .Web 服务 器 .服务 等 应 用 进行 数据 采集 和 监控 。 在 应 用 监控 
的 基础 上 ,结合 告警 .报表 等 功能 ,对 网 络 中 的 所 有 应 用 进行 可 用 性 和 健康 度 评价 ,帮助 网 络 管 
理 员 了 解 网 络 应 用 的 运行 状况 ,并 及 时 发 现 网 络 应 用 的 隐患 。APM 数据 库 管理 作为 数据 中 
心 重 要 的 功能 之 一 ,可 以 对 Oracle .MySQL.SQL Server, DB2,SysBASE 等 主流 数据 库 的 详细 
监控 。 

iMC APM 数据 库 管理 故障 的 定位 思路 : 首先 检查 服务 器 软 硬 件 及 性 能 是 否 满足 当前 需 
要 以 及 iMC 相应 进程 运行 及 数据 库 连 接 是 否 正常 ,然后 检查 APM 服务 器 和 监控 对 象 的 连通 
性 ,再 根据 监控 的 具体 数据 库 类 型 分 别 对 APM 监控 对 象 的 配置 及 相关 参数 的 配置 进行 统一 
排查 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

需要 对 照 (智能 管理 中 心 iMC) 部 署 和 硬件 配置 方案 》, 检 查 MC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 , 请 严格 执行 。 

对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 合 
平 规格 ,是 否 需 要 分 布 式 。 重 点 需要 检查 内 存 占 用 是 否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 
心 GMC) 部 署 和 硬件 配置 方案 ) 计 算出 的 要 求 ,操作 系统 和 数据 库 是 否 为 64 位 ,建议 使 用 
64 位 系统 。 

(2) iMC 服务 器 运行 情况 检查 

单 击 “ 开 始 ” 一 “智能 部 署 监控 代理 ”命令 ,选择 部署? 标签 ,检查 APM 功能 组 件 是 否 部 署 
成 功 ,进程 是 否 正常 运行 。 

O 检查 是 否 已 经 部 署 平台 的 告警 和 性 能 模块 。 

iMC APM 强 依赖 iMC PLAT 的 告警 和 性 能 功能 模块 , 故 必须 先 安装 部 署 好 平台 的 告警 
和 性 能 模块 后 ,才能 安装 部 署 MC APM 业务 组 件 , 如 图 8-215 所 示 。 


DEENEN g 
监控 | 进程 ， 部 署 | 运行 环境 | 


(9 智能 管理 平台 - 资源 管理 对 网 络 中 的 路 由 器 、 交 换 机 等 各 ... 


: s SË — P narr 
S 智能 管理 平台 - 来 宾 接 入 管理 对 来 宾 帐 号 进行 全 面 、 智 能 、 安 .. ，imc PLAT 7.1 (E0303 š 
I SKERPA - 智能 配置 中 心 对 网 络 设备 进行 软件 升级 、 设 备 . . ，imC PLAT 7.1 (E0303. 

I 智能 管理 平台 - 报表 管理 提供 各 类 业务 报表 的 发 布 、 展 示 . . ，iNC FLAT 7.1 (E0303.. 

J 乱 能 管理 平台 - 网 元 管理 jäidki iMC PLAT 7. 1 (E0303. 


T ssi š m 
对 网 络 中 的 设备 及 资产 进 . .iNC PLAT 7.1 (E0303 


图 8-215 检查 是 否 已 经 部 署 平台 的 告警 和 性 能 模块 
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APM 和 平台 的 版 本 有 相应 配套 要 求 , 具 体 请 参考 APM 的 版 本 说 明 书 。 
O 检查 是 否 已 经 正常 安装 部 署 APM 业务 组 件 , 如 图 8-216 所 示 。 


监控 | 进香 部署 | 运行 环境 | 


Fit 
IRRITAR , SORPESSHR0yRIS E. 


- CUER i 5 
[S 智 能 管理 平台 - 网 络 资产 管理 。 对 网 络 中 的 设备 及 其 配件 资产 进行 管理 * i 主 服务 器 
[9 智能 管理 平台 - 安全 控制 中 心 监控 了 网 络 中 的 各 种 事件 ， 提 供 安全 联动 控制 功能 。 i 主 服务 器 
[I SKERPA - 通用 搜索 服务 管理 对 imc 的 通用 搜索 业务 提供 统一 管理 * i 主 服务 器 
| 学 智能 管理 平台 - syslo 绾 理 对 设备 Sys1oe 进 行 收集 、 过 凑 、 分 析 ， 并 生成 相应 的 告警。 i 主 服务 器 
[9 智能 管理 平台 - VLAx 管 理 对 网 络 中 YLN 资 源 进行 管理 。 主 服务 器 


| 9 智能 管理 平台 - 虚拟 资源 管理 。 对 虚拟 资源 进行 管理 * 
SDH 上 务 管理 组 件 。 


同 种 类 半 务 的 应 用 程序 和 服 : 


8-216 ”检查 是 否 已 经 正常 安装 部 署 APM 业务 组 件 


(a) 应 用 管理 : 即 APM 的 配置 模块 及 前 台 模 块 。 

(b) 应 用 管理 服务 : 负责 APM 应 用 采集 ,该 模块 可 分 布 式 多 次 来 降低 APM 服务 器 的 集 
中 压力 ,而 应 用 管理 只 能 部 署 一 次 。 

@ 检查 数据 库 服 务 是 否 运行 正常 。 

以 SQL Server 2008 R2 举例 。 

单 击 “开始 ”一 “程序 ”一 “Microsoft SQL Server 2008 R2” 一 “配置 工具 ”一 “SQL Server 配 
置 管理 器 "命令 ,在 弹出 如 图 8-217 所 示 对 话 框 中 ,检查 各 服务 的 状态 是 否 “正在 运行 ”。 


SQL Server Tategration Services 10.0 正在 运行 FE] e 
局 SQL Server Brorser 已 停止 其 地 (“ 引 导 " 、 WT AUTMDRITYNLD， 


SQL Server 代理 MSSQLSERVER) 已 停止 手动 LocalSysten 


dse Native Ay ent 10.0 RE 
SQL Full-text Filter Daemon Launcher QSSQLSERVER) 正在 运行 手动 LocalSysten 


Tare 


图 8-217 “Sql Server Configuration Manager” Xt Wi HE 


说 明 : 

(a) SQL Server(MSSQL SERVER) È SQL 的 最 主要 服务 ,必须 处 于 “正在 运行 "状态 。 

(b) iMC 要 求 SQL Server(MSSQLSERVER) 服 务必 须 以 LocalSystem 身份 登录 。 

@ 检查 数据 库 的 相关 参数 配置 是 否 正确 。 

@ 检查 TCP/IP 参数 。 

以 SQL Server 2008 R2 举例 。 

单 击 “开始 ”一 “程序 ”一 “Microsoft SQL Server 2008 R2” 一 “配置 工具 ”一 “SQL 
Server 配置 管理 器 ”命令 ,在 弹出 如 下 对 话 框 中 , 单 击 左 侧 树 上 的 “SQL Server 网 络 配置 ”一 
“MSSQLSERVER 的 协议 ”命令 ,在 右 侧 界面 中 .双击 “TCP/IP” 打 开 “TCP/IP 属性 ”配置 对 话 
框 ,如 图 8-218 所 示 。 

在 “协议 ”标签 中 确认 “全 部 侦 听 ”为 是”, 如 图 8-219 所 示 。 

在 “IP 地 址 ”标签 下 ,确认 各 个 IP 地 址 下 的 “已 启用 ”为 “是 ”,“TCP 端口 (TCP Port)” 为 
“1433”, 如 图 8-220 所 示 。 
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文件 @) REW FEV EHW 
zemene 


协议 各 和 
Y Shared Nenory 
Y Named Pipes 


8-218 “TCP/IP 属性 ?配置 对 话 框 


1433 
是 
127.0.0.1 


TCP/IP HPE x 1433 


图 8-219 “协议 ”标签 图 8-220 “IP 地 址 ”标签 


WAA: 

(a) 如 果 前 面 “TCP/IP 属性 ”配置 界面 中 ,没有 将 “全 部 侦 听 (Listen All)” 的 值 改 为 “是 
(Yes)”, 则 在 SQL Server 2008 R2 安装 完成 后 ,如 果 服 务 器 的 IP 地 址 更 改 了 ,必须 重新 进入 
该 配置 窗口 ,将 原来 配置 的 “IP 地 址 (IP Address) ?进行 更 新 ,否则 无 法 连接 数据 库 。 

(b) 同样 方法 确认 Named Pipes 属性 也 被 使 能 。 

(c) 在 分 布 式 部 署 场景 中 ,如 果 使 用 了 多 个 数据 库 服 务 器 ,各 服务 器 的 监听 端口 必须 相同 。 

@ 检查 SQL Server 的 登录 方式 。 

单 击 “开始 ”一 “程序 ”一 “Microsoft SQL Server 2008 R2” 一 “配置 工具 ”一 “SQL Server 配 
置 管理 器 ”命令 ,在 如 图 8-221 所 示 对 话 框 中 查看 SQL Server 服务 的 “登录 身份 为 ” 列 ,确保 其 
值 为 “LocalSystem”。 


XEO MEO HEV EHV 
£ + |@ :WN 


SQL Server Integration Services 10.0 正在 运行 B% LocalSysten 

局 SQL Server Browser 已 停止 其 他 (“ 引 导 " 、 WT AVTHORITY\LO. 
SQL Server 代理 (ESSQLSERVER) 已 停止 手动 LoculSysten 
SQL Full-text Filter Daemon Launcher QISSQLSTRVYIR) 正在 运行 $% LocalSysten 


图 8-221 查看 SQL Server 服务 


如 果 当 前 不 是 以 *LocalSystem” 身 份 登录 ,需要 将 其 改 为 "LocalSystem”。 双 击 该 行 ( 或 选 
中 该 行 后 , 单 击 工具 栏 中 的 “属性 ?按钮 ) .打开 “SQL Server 属性 ?配置 对 话 框 ,将 “登录 身份 
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为 ? 改 为 “内 置 账 户 ” 中 的 “本 地 系统 (LocalSystem)”, 如 图 8-222 所 示 。 


er (WSSQLSERVER) 屋 性 


图 8-222 “SQL Server 属性 ”对 话 框 


D 检查 部 署 监 控 代理 数据 库 显示 状态 。 
单 击 “ 开 始 ”>“ 智 能 部 署 监 控 代理 ”命令 ,选择 “运行 环境 ”标签 ,正常 情况 如 图 8-223 所 
示 , 能 正常 显示 数据 库 空间 使 用 情况 。 


[运行 环境 


系统 架构 : =a 
操作 系统 : Windows Server 2012 


i 
BEMS) 


š 
š 
PES: 
a 

豆 专 文件 MB) 


CEREN ETA AE) 


con.. iee db inve.. mon.. per. epo.. epo.. via.. 
数据 库 


RERS: 不 使 用 自动 备份 或 恢复 。 CRE] [amin | | #mam | | 查看 6 志 | 
图 8-223 “运行 环境 ”标签 

G) 检查 iMC APM 和 数据 库 的 连通 情况 

APM 要 监控 数据 库 的 前 提 是 必须 确保 APM 和 监控 对 象 能 正常 通信 ,可 以 在 APM 服务 
器 的 CMD 命令 行 通过 ping 命令 测试 和 监控 对 象 是 否 能 正常 通信 。 

(4) 确认 监控 对 象 的 类 型 

iMC APM 当前 可 以 管理 Oracle, SQL Server, DB2, MySQL, SysBASE 5 种 数据 库 ,不同 
的 数据 库 类 型 其 配置 方法 和 故障 排查 方法 有 所 不 同 。 故 在 故障 排查 前 ,请 先 和 现场 人 员 确认 
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具体 的 数据 库 类 型 ,再 参考 如 下 方法 逐一 排查 。 
(5) Oracle 数据 库 排 查 
O 配置 检查 。 图 8-224 所 示 为 Oracle 数据 库 排查 配置 检查 。 


172.16.99.123 


Oracle_172.16.99.123 


撕 述 
应 用 监控 端口 + 


HAIE (分 钟 ) * 


数据 库 实 例 名 (Oracle SID ) * 


用 户 名 + 


密码 + 


联系 人 * 


图 8-224 Oracle 数据 库 排查 配置 检查 


(a) 数据 库 主机 IP 地 址 检查 : 即 数据 库 所 在 主机 的 IP. 

(b) 应 用 的 名 称 检查 : 默认 为 “应 用 类 型 IP 地 址 ,该 参数 只 具有 标识 意义 ,可 自己 定义 。 

(c) 应 用 监控 端口 检查 : 该 端口 非常 重要 ,Oracle 的 应 用 端口 默认 为 1521, 请 配置 当前 应 
用 的 实际 端口 。 

(d) 轮 询 间隔 时 间 检 查 : 该 轮 询 时 间 , 即 APM 读 取 应 用 数据 的 间隔 时 间 ,可 以 根据 需要 
配置 具体 时 间 ,最 小 为 1 分 钟 。 

(e) 监视 方式 检查 : 分 单机 和 分 布 式 两 种 , 即 数据 库 是 否 分 布 式 安装 , 非 APM 数据 采集 
方式 。 

(f) 数据 库 实 例 名 检查 : BB Oracle 的 实例 名 ,必须 确保 输入 了 正确 的 数据 库 实例 名 ， 
Oracle 的 实例 名 的 获取 方法 如 下 。 

对 于 UNIX/Linux 环境 ,通过 命令 echo $ ORACLE_SID 查看 。 


#echo $ ORACLE_SID 
orcl 


对 于 Windows 环境 ,可 以 通过 两 种 方法 : 在 sqlplus 中 通过 命令 :; select * from v 
$ instance; 查看 ; 查看 Windows 注册 表 HKEY_LOCAL_MACHINE\SOFTWARE \ORACLE\ 
HOMEO\ORACLE_SID 键 值 。 

(g) 用 户 名 检查 : 请 检查 ORACLE 用 户 名 的 正确 性 。 

(h) 密码 检查 : 请 检查 ORACLE 用 户 密码 的 正确 性 。 

© 注意 事项 检查 。iMC APM 对 所 管理 的 数据 库 对 象 有 一 定 要 求 ,包括 支持 的 监控 力度 
及 配置 参数 要 求 ,在 故障 排查 中 ,该 步 双 非常 重要 ,针对 APM 监控 Oracle 数据 库 对 象 的 限制 
和 要 求 如 下 。 
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(a) APM 支持 监控 的 Oracle 版 本 包括 9i.l0g Allg. 

(b) 对 Oracle 进行 监控 时 , 需 至 少 具有 Connect 和 Select_Catalog_Role 角色 的 管理 员 用 
户 名 和 密码 。 

(c) 监视 方式 中 单机 模式 和 分 布 式 模式 指 的 是 数据 库 是 否 分 布 式 安装 , 非 APM 数据 采集 
方式 。 

(6) SQL Server 数据 库 排 查 

O 配置 检查 。 图 8-225 所 示 为 SQL Server 数据 库 排查 配置 检查 。 


MSSQL_10.90.9.81 


mz 

应 用 监控 请 口 * 
轮 词 间隔 ( Së ) * 
认证 类 型 * 


APM 服 务 器 ” 


依 天 的 应 用 


图 8-225 SQL Server 数据 库 排 查 配 置 检 查 


(a) 数据 库 主 机 IP 地 址 检查 : 即 数据 库 所 在 主机 的 IP. 

(b) 应 用 的 名 称 检查 : 默认 为 “应 用 类 型 IP 地 址 ”, 该 参数 只 具有 标识 意义 ,可 自己 定义 。 

(c) 应 用 监控 端口 检查 : 该 端口 非常 重要 ,SQL Server 的 应 用 端口 默认 为 1433 ,请 配置 当 
前 应 用 的 实际 端口 。 

(d) 轮 询 间隔 时 间 检 查 : 该 轮 询 时 间 , 即 APM 读 取 应 用 数据 的 间隔 时 间 ,可 以 根据 需要 
配置 具体 时 间 ,最 小 为 1 分 钟 。 

(e) 应 用 的 认证 类 型 检查 : 分 Windows 认证 和 SQL 认证 两 种 。 

O 用 户 名 检查 : 认证 类 型 为 Windows 认证 时 ,此 用 户 名 为 操作 系统 用 户 名 ,否则 为 数据 
库 名 ,一 般 为 sa。 

(g) 密码 检查 : 认证 类 型 为 Windows 认证 时 ,此 密码 为 系统 密码 ,否则 为 数据 库 密码 。 

(h) 数据 库 实例 名 :如 果 是 SQL Server 的 默认 实例 , 则 可 以 不 输入 实例 名 ,如 果 非 默认 实 
例 , 则 需要 输入 实例 名 。 

© 注意 事项 检查 。APM 支持 对 SQL Server 2000 SP4.SQL Server 2005 和 SQL Server 
2008 的 监控 。 

(7) MySQL 数据 库 排查 

O 配置 检查 。 图 8-226 所 示 为 MySQL 数据 库 排查 配置 数据 。 

(a) 数据 库 主 机 IP 地 址 检查 : 即 数据 库 所 在 主机 的 IP。 
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10.88.8.10 


MySQL 10.88.8.10 


图 8-226 MySQL 数据 库 排查 配置 数据 


(b) 应 用 的 名 称 检查 : 默认 为 “应 用 类 型 _IP 地 址 ”, 该 参数 只 具有 标识 意义 ,可 自己 定义 。 

(c) 应 用 监控 端口 检查 : 该 端口 非常 重要 ,MySQL 的 应 用 端口 默认 为 3306 ,请 配置 当前 
应 用 的 实际 端口 。 

(d) 轮 询 间隔 时 间 检 查 : 该 轮 询 时 间 , 即 APM 读 取 应 用 数据 的 间隔 时 间 ,可 以 根据 需要 
配置 具体 时 间 ,最 小 为 1 分 钟 。 

(e) 用 户 名 检查 : 请 检查 MySQL 用 户 名 的 准确 性 。 

(f) 密码 检查 : 请 检查 MySQL 用 户 的 密码 的 准确 性 。 

@ 注意 事项 检查 。 

(a) APM 可 用 监控 的 MySQL 版 本 包括 MySQL 5. x, 

(b) 用 户 必须 具有 远程 访问 MySQL 的 权限 。 

(c) 确认 MySQL 是 否 可 以 远程 访问 方法 : 登录 MySQL 数据 库 执行 “select host, user 
from mysql. user”, 查 看 结果 中 host 是 否 包含 APM 服务 器 地 址 ,如 果 不 包含 需要 进行 授权 。 

(8) DB2 数据 库 排 查 

O 配置 检查 。 图 8-227 所 示 为 DB2 数据 库 排查 配置 检查 。 


10.88.1.102 


DB2_10.88.1.102 


图 8-227 DB2 数据 库 排查 配置 检查 
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(a) 数据 库 主机 IP 地 址 检查 : 即 数据 库 所 在 主机 的 IP. 

(b) 应 用 的 名 称 检查 : 默认 为 “应 用 类 型 _IP 地 址 ”, 该 参数 只 具有 标识 意义 ,可 自己 定义 。 

(c) 应 用 监控 端口 检查 : 该 端口 非常 重要 ,DB2 的 应 用 端口 默认 为 50000, 请 配置 当前 应 
用 的 实际 端口 。 

(d) 轮 询 间隔 时 间 检 查 ; 该 轮 询 时 间 , 即 APM 读 取 应 用 数据 的 间隔 时 间 , 可 以 根据 需要 
配置 具体 时 间 , 最 小 为 1 分 钟 。 

(e) 用 户 名 检查 : 请 检查 DB2 用 户 名 的 准确 性 。 

(D 密码 检查 : 请 检查 DB2 用 户 的 密码 的 准确 性 。 

(g) 数据 库 名 检查 : 请 检查 DB2 数据 库 名 是 否 正确 。 

O 注意 事项 检查 。 

(a) APM 可 以 监控 DB2/NT 8. 2.0 及 以 上 版 本 的 DB2 。 

(b) 对 DB2 进行 监控 时 ,需要 具有 管理 员 权 限 的 用 户 名 和 密码 以 及 数据 库 名 称 。 

(c) DB2 所 有 用 户 都 是 操作 系统 用 户 ,要 查看 数据 库 与 用 户 名 对 应 关系 ,在 DB2 控制 中 
心中 相应 数据 库 下 查看 “数据 库 用 户 ” 及 其 拥有 的 权限 。 

(9) SyBASE 数据 库 排查 

O 配置 检查 。 图 8-228 所 示 为 SyBASE 数据 库 排查 配置 检查 。 


10.10.10.88 
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8-228 SyBASE 数据 库 排查 配置 检查 


(a) 数据 库 主机 IP 地 址 检查 : 即 数据 库 所 在 主机 的 IP。 

(b) 应 用 的 名 称 检查 : 默认 为 “应 用 类 型 _IP 地 址 ”, 该 参数 只 具有 标识 意义 ,可 自己 定义 。 

(c) 应 用 监控 端口 检查 : 该 端口 非常 重要 ,SyBASE 的 应 用 端口 默认 为 5000, 请 配置 当前 
应 用 的 实际 端口 。 

(d) 轮 询 间隔 时 间 检 查 : 该 轮 询 时 间 , 即 APM 读 取 应 用 数据 的 间隔 时 间 , 可 以 根据 需要 
配置 具体 时 间 ,最 小 为 1 分 钟 。 

(e) 用 户 名 检查 : 请 检查 SyBASE 用 户 名 的 准确 性 。 

(D 密码 检查 : 请 检查 SYBASE 用 户 的 密码 的 准确 性 。 

© 注意 事项 检查 。 

(a) 可 用 监控 的 SyBASE 版 本 包括 SyBASE Adaptive Server Enterprise 12. 5.2 及 以 上 。 

(b) 对 SyBASE 进行 监控 时 ,需要 具有 管理 员 权限 的 用 户 名 和 密码 。 
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(10) 达 梦 数据 库 排查 
O 配置 检查 。 图 8-229 所 示 为 达 梦 数据 库 排 查 配置 检查 。 


了 p 地 址 * 10.10.10.99 


名称 * DM_10.10.10.99 


是 否 使 用 模板 ° 
e 

应 用 监控 该 口 * 

轮 询 间隔 ( 分钟) ° 


图 8-229 达 梦 数据 库 排查 配置 检查 


(a) 数据 库 主 机 IP 地 址 检查 : 即 数据 库 所 在 主机 的 IP. 

(b) 应 用 的 名 称 检查 : 默认 为 “应 用 类 型 IP 地 址 ,该 参数 只 具有 标识 意义 ,可 自己 定义 。 

(c) 应 用 监控 端口 检查 : 该 端口 非常 重要 , 达 梦 数据 库 的 应 用 端口 默认 为 5236, 请 配置 当 
前 应 用 的 实际 端口 。 

(d) 轮 询 间 隔 时 间 检 查 : 该 轮 询 时 间 , 即 APM 读 取 应 用 数据 的 间隔 时 间 ,可 以 根据 需要 
配置 具体 时 间 , 最 小 为 1 分 钟 。 

(e) 用户 名 检查 : 请 检查 达 梦 数据 库 用 户 名 的 准确 性 。 

(D 密码 检查 : 请 检查 达 梦 数据 库 用 户 的 密码 的 准确 性 。 

@ 注意 事项 检查 。 

(a) APM 支持 监控 DM7 版 本 。 

(b) 对 DM 进行 监控 时 ,需要 具有 数据 库 管 理 员 权限 的 用 户 名 和 密码 。 

(11) Informix 数据 库 排查 

O 配置 检查 。 图 8-230 所 示 为 Informix 数据 库 排 查 配置 检查 。 


10.10.99.12 


Informix_10.10.99.12 


图 8-230 Informix 数据 库 排查 配置 检查 


(a) 数据 库 主机 IP 地 址 检查 : 即 数据 库 所 在 主机 的 IP. 
(b) 应 用 的 名 称 检查 : 默认 为 “应 用 类 型 _IP 地 址 ”, 该 参数 只 具有 标识 意义 ,可 自己 定义 。 
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(c) 应 用 监控 端口 检查 : 该 端口 非常 重要 , 达 梦 数据 库 的 应 用 端口 默认 为 9088 ,请 配置 当 
前 应 用 的 实际 端口 。 

(d) 轮 询 间隔 时 间 检 查 : 该 轮 询 时 间 , 即 APM 读 取 应 用 数据 的 间隔 时 间 , 可 以 根据 需要 
配置 具体 时 间 ,最 小 为 1 分 钟 。 

(e) 用 户 名 检查 : 请 检查 达 梦 数据 库 用 户 名 的 准确 性 。 

(D 密码 检查 : 请 检查 达 梦 数据 库 用 户 的 密码 的 准确 性 。 

(g) 数据 库 名 检查 : 请 检查 数据 库 名 是 否 正确 。 

(h) 数据 库 服务 名 检查 : 请 检查 数据 库 服务 名 是 否 正确 。 

O 注意 事项 检查 。 

(a) APM 可 以 监控 Informix 9. 40 及 以 上 版 本 的 Informix。 

(b) 对 Informix 进行 监控 时 , Informix 在 Linux 上 时 , Linux 服务 器 上 的 配置 文件 
sqlhosts ,主机 别名 前 加 * 。 例 如 : cs_dbs onsoctcp * linux sqlexe。 

(c) 对 Informix 进行 监控 时 ,用 户 需要 具有 管理 员 权 限 的 用 户 名 和 密码 以 及 数据 库 名 称 ， 
数据 库 实 例 名 称 。 

(12) 版 本 已 知 问题 排查 

早期 版 本 可 能 存在 已 知 问题 或 相关 使 用 限制 ,在 APM 版 本 说 明 书 中 会 有 说 明 。 在 故障 
排除 时 ,要 养 成 查看 版 本 说 明 书 的 习惯 。 

例如 : 在 APM 中 增加 一 个 Oracle 数据 库 监视 器 ,在 iMC 中 通过 “应 用 监视 "链接 查看 该 
应 用 的 详细 内 容 , 发现 除了 第 一 个 tab 页 有 数据 ,后 面 几 个 tab 页 都 没有 内 容 , 如 图 8-231 
所 示 。 


/ http://localhost:8080/?resourceid=10000062&method=showResourceFo; ceID - AAEH... fO R) 


10.153.128.127_ORACLE-DB-server_orcl_1521 


Wo 表 空 间 | 会 话 FD “| SGA 


服务 器 响应 : 672 毫秒 服务 器 系统 时 间 : 2010-8-13 10:51:01 


图 8-231 版 本 已 知 问题 排查 


O 存在 问题 版 本 。APM 3. 20-E0703 之 前 的 版 本 。 
@ 原因 分 析 。 过 滤器 类 对 页 面 内 容 进 行 过 滤 存 在 问题 ,导致 页 面 中 内 容 显 示 出 现 问 题 。 
@ 解决 方案 。 安 装 APM 3. 20-E0703 版 本 或 之 后 的 版 本 。 


A 业 p 8.1.21 防 内 网 外 连 N 


y 志 示 上 一步 结果 王 昌 


s y 表示 上 一 步 结果 出 更 襄 题 


接 入 设备 
AN 配置 检查 


UAM 账 号 


配置 检查 


wc 服务 器 运 和 
H 总 检查 iNWode 8 Pih 
配置 检查 


3138 
400-310-0504 
号 站 帮助 
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08 iMC 管理 软件 “多 3.1 业务 软件 : iMC s 步骤 详解 


1. 开始 

随 着 网 络 的 普及 ,人 们 接 入 网 络 的 方式 多 种 多 样 。 比 如 PC 可 以 安装 多 块 网 卡 ,一 块 网 卡 
进行 认证 并 接受 EAD 控制 , 另 一 块 网 卡 则 接 人 了 其 他 网 络 ; 或 者 笔记 本 电脑 等 移动 终端 , 除 
了 进行 认证 外 ,还 可 以 随时 接 入 其 他 各 种 无 线 网 络 。 很 多 敏感 的 网 络 中 ,不 允许 PC 或 笔记 本 
电脑 连接 多 个 网 络 。 因 此 需要 一 种 方法 ,强制 PC 或 笔记 本 电脑 只 能 接 入 可 信和 的 内 网 ,禁止 接 
入 其 他 网 络 。H3C iNode 客户 端 防 内 网 外 连 功能 可 以 控制 用 户 访问 权限 ,满足 阻止 用 户 随意 
接 人 网 络 的 需求 。PC 接 人 内 网 前 ,客户 端 防 内 网 外 连 功能 可 以 将 所 有 网 卡 置 为 流出 向 阻 断 
状态 , 即 所 有 网 卡 流出 方向 只 能 通过 DHCP 报 文 ,其 他 所 有 IP 报 文 都 被 丢弃 ; 流入 方向 不 受 
限制 。 只 有 使 用 iNode 客户 端 在 802. 1x 或 Portal 认证 成 功 后 , 才 会 将 认证 网 卡 完 全 放 开 ,不 
过 滤 任 何 报 文 。 而 除 认证 网 卡 外 的 所 有 网 卡 ( 包 括 但 不 限于 Modem、ADSL、GPRS、CDMA 等 
各 种 互联 网 接 入 ) 继 续 处 于 阻 断 状态 。 这 样 就 从 源头 上 严格 限制 了 PC 对 网 络 的 使 用 ,保证 了 
信息 安全 。 对 于 防 内 网 外 连 问题 定位 故障 的 思路 及 顺序 是 : UAM 侧 服务 器 软 硬 件 状 态 及 路 
由 可 达 性 检查 、 适 用 条 件 检 查 、 防 内 网 外 连 参 数 配 置 检查 和 Node 客户 端 配 置 检查 。 

本 文 举例 组 网 如 图 8-232 所 示 。 


° <ç $ 


认证 终端 PC 认证 设备 H3C iMC 服 务 器 
(@UAM) 


8-232 组 网 举例 


IP 规划 如 下 。 

认证 终端 PC: 172. 16. 16. 2/24, 网 关 172. 16. 16. 1。 

认证 设备 : VLAN 16 :172. 16. 16. 1/24,VLAN 100: 172. 16. 100. 1/24。 

iMC 服务 器 : 172. 16. 100. 61/24, RÆ 172. 16. 100. 1. 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

服务 器 性 能 是 保证 iMC 认证 系统 稳定 运行 的 基本 要 素 , 所 以 排查 问题 时 首先 需要 确认 服 
务 器 软 硬 件 配置 情况 。 

请 对 照 《 智 能 管理 中 心 iMC) 部 署 和 硬件 配置 方案 ) 查 询 这 套 iMC 服务 器 的 业务 量 是 否 
符合 配置 要 求 。 该 配置 方案 是 我 们 推荐 的 运行 iMC 最 基本 的 部 署 要 求 。 

D 对 照 ( 智 能 管理 中 心 (IMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、 同 时 在 线 人 数 多 , 则 需要 根据 (智能 管理 中 心 iMC) 部 署 和 硬件 配 
置 方案 ) 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 。 

重点 需要 检查 内 存 占 用 是 否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 (iMC) 部 署 和 硬件 配 
置 方案 ) 计 算出 的 要 求 , 操 作 系统 是 否 是 高 性 能 的 x64 版 本 。 

© 打开 部 署 监控 代理 ,在 部 署 监控 代理 中 查看 部 署 页 面 “ 用 户 接 人 管理 “策略 服务 
器 六 智 能 策略 服务 代理 ?和 * 安 全 策略 管理 前 台 ” 组 件 状 态 应 为 “已 部 署 *, 如 图 8-233 所 示 。 
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8-233 ”部 署 页 面 


(2) iMC 服务 器 运行 情况 检查 


已 部 署 


查看 “iMC 智能 部 署 监控 代理 ”中 进程 选项 卡 中 是 否 有 未 启动 的 进 


“已 经 启动 ”。 


主 服务 器 


程 ,各 进程 是 否 正常 为 


O 在 部 署 监控 代理 中 ,查看 uam. exe \ispserver\policyserver 进程 是 否 正常 启动 ; 如 果 是 
Portal 认证 方式 还 需要 确认 portalserver 进程 是 否 正 常 启动 ,如 图 8-234 所 示 o 


T, 084 2015-03-10 17:51:32 


TESNE 


224, 212 2015-03-10 17:51:15 


可 管理 进程 


r 本 机 768, 760 2015-03-10 17;51;15_ 可 管理 进程 
r 本 机 670,832 2015-03-10 17.51 15 本 管理 进程 
© woserver 本 机 884,616 2015-03-10 17:51:15 可 管理 进程 
O saset 本 机 708, 896 2015-03-10 17:51:15 可 管理 进程 


970, 488 2015-09-10 17:51:15 


可 管理 进程 


713, 994 2015-03-10 17:51:15 


可 管理 进程 


328, 068 2015-03-10 17:51:15 


可 管理 进程 


,77, 220 2015-03-10 18:02:26 


司 管理 进程 
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可 管理 进程 
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可 管理 进程 


968, 096 2015-03-10 17:51:15 


可 管理 进程 


634, 384 2015-03-10 17:51:15 


可 管理 进程 


© sschapyesaryer 


944, 640 2015-03-10 17:51:15 


可 管理 进程 


© samira 


739, 268 2015-03-10 17:51:15 


可 管理 进程 
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693, 748 2015-03-10 17:51:15 


可 管理 进程 


694, 478 2015-03-10 17:51:15 


8-234 各 进程 启动 情况 


可 管理 进程 


(a) 一 般 情 况 下 ,这些 进 程 通过 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 


(b) portalserver 提供 Portal 认证 功能 。 


(c) policyserver 主要 用 来 提供 客户 端 类 功能 。 


(d) uam 进程 提供 用 户 认证 功能 。 


(e) ispserver 统一 代理 服务 器 与 iNode 客户 端的 通信 。 
© 检查 iMC 服务 器 1812、1813、9019、50100 和 50200 UDP 端口 是 否 被 上 述 相关 进程 监 


听 , 如 图 8-235 所 示 。 
说 明 : 
(a) Windows 操作 系统 中 ,通过 
netstat-aon | findstr :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 


PID, 
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8.0.1 
8.0.1 
72.16.100.61 


8.0.1 
.0.0.1:61 
16.100.61:18 


Administrat 
1 
1 
1 


Administrat u 3>netsta ! findstr 9019 
B.0.0.0:9019 


Administrat 2I L3 Yn: ən | findstr 58188 
B-B-9-9:58198 


Ad WIN-HHBRD4N2IL3>netstat -aon ! findstr 50200 
98.0.0 =: 


Administrator. VIN-HHØRD4N2IL3 


FD 选 硕 0) FEV HO 
应 用 程序 进程 jes ”| 性 能 | 联网 | 用 户 | 


explorer. exe 


Administr 


图 8-235 各 端口 被 进程 监听 情况 


(b) 1812.1813 所 对 应 的 进程 PID 应 为 uam 相关 的 进程 。 

(c) 1812、1813 对 应 的 IP 应 为 UAM 服务 器 实际 IP 地 址 。 

(d) 9019 端口 所 对 应 进程 PID 为 ISP 相关 进程 ,所 对 应 的 IP 地 址 应 为 0.0.0.0。 

(e) 50100、50200 端口 所 对 应 进程 PID 为 Portal 相关 进程 ,所 对 应 的 IP 地 址 应 为 0.0.0.0。 


(Í) Linux 系统 命令 


netstat-apn | grep: 端口 号 。 
@ 检查 “iMC 智能 监控 代理 ”~ 运行 环境 
所 示 。 


接 状 态 是 否 正常 ,如 图 8-236 


监控 | 进程 | 部 署 运行 环境 | 


运行 环境 数据 库 空间 使 用 
FARDD: md54 1.000 | 
操作 系统 : Windows Server 2008 R2 8 7% 
操作 系统 版 本 : 6.1 g 
操作 系统 补丁 : Service Pack 1 š = 
登录 用 户 : Adnini strator = 下 
merra 时 3 — aa _ 
数据 库 : Microsoft SQL Server sal > 
数据 诛 版 本 : 10.50. 1600 二 三 
数据 库 服 务 器 : 本 机 s 
数据 库 占用 内 存 ; 1035 Wp x | 
最 大 堆 / 丰 堆 内 存 : 3072n/1024m 8 sa | 
s 
o 
Lp — e 
数据 库 
[ETTI 
「 教 据 库 备份 与 恢复 


RAWS: 自动 收复 。 iman | 。 立即 收复 “| ， sees 
图 8-236 ”数据 库 连接 状态 
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(3) 路 由 可 达 性 检查 

O 单 击 “ 用 户 ”>“ 用 户 接 入 管理 ”>“ 接 入 设备 管理 ”命令 需 添加 接 入 设备 发 给 iMC 服务 
器 Radius 协议 报 文 的 端口 IP,iMC 默认 会 同 该 IP 进行 Radius 协议 报 文 交互 , 需 保证 iMC 可 
以 ping 通 该 IP, 本 例 中 接 人 设备 IP 应 为 172. 16.100.1。 

© 对 于 Portal 认证 场景 ,需要 保证 认证 前 后 认证 客户 端 和 Portal 服务 器 路 由 可 达 , 保 证 
Portal nas-ip 和 Portal 服务 器 路 由 可 达 ,Portal nas-ip 默认 为 用 户 网 关 172. 16. 16. 1 。 

© 保证 iNode 客户 端 认 证 通过 后 ,终端 可 以 与 策略 服务 器 正常 通信 。 

说 明 : 

(a) 接 入 设备 会 有 多 个 IP 地 址 ,如 果 要 更 改 接 入 设备 IP, 需 在 Radius Scheme 视图 下 配 
置 如 下 命令 ,iMC 侧 需 同步 修改 : 

[sw-radius-h3cjnas-ip 172. 16. 2. 1 ,并 在 iMC 上 更 改 为 172. 16.2.1。 

(b) Portal 认证 方式 更 改 Portal nas-ip 后 需 在 Interface-vlan 视图 下 配置 命令 ,iMC 侧 需 
同步 修改 ， 

[sw-vlan-interface6 ]portal nas-ip 192. 168. 6. 1 。 

(c) iMC 通过 策略 服务 器 向 Node 客户 端 下 发 防 内 网 外 连 所 需 的 ACL, 需 要 保证 iNode 
到 服务 器 UDP 9019 端口 可 达 。 

(4) 适用 条 件 检查 

O 防 内 网 外 连 功能 需要 与 802. 1x 或 Portal 认证 结合 。 

© 认证 客户 端 必 须 为 iNode。 

O 客户 端 操作 系统 必须 为 Windows, 

@ 使 用 3G 上 网 卡 作为 认证 网 卡 时 不 支持 防 内 网 外 连 。 

© 通过 WAN 端口 转发 IP 报 文 的 3G 上 网 卡 只 有 作为 非 认 证 网 卡 时 支持 防 内 网 外 连 。 

说 明 : 

(a) 对 内 网 还 是 外 网 的 判断 依据 是 接 入 协议 。 如 果 PC 使 用 的 接 入 协议 为 802. 1x 或 
Portal, 则 认为 PC 正在 使 用 内 网 ,否则 认为 PC 访问 外 网 ,所 以 防 内 网 外 连 功能 必须 与 802. 1x 
或 Portal 认证 配合 。 

(b) 防 内 网 外 连 功能 仅 对 IP 报 文 有 效 , 对 于 红外 、 蓝 牙 等 点 对 点 设备 无 效 , 这 种 情况 可 以 
使 用 DAM 的 外 设 管理 功能 来 禁用 红外 、 蓝 牙 的 设备 。 

(c) 通过 其 他 私有 方式 转发 IP 报 文 的 3G 上 网 卡 在 Windows Vista 及 以 上 版 本 的 操作 系 
统 中 不 支持 防 内 网 外 连 ,XP 系统 下 ,只 有 在 3G 网 卡 作 为 非 认证 网 卡 的 应 用 场景 下 支持 防 内 
网 外 连 。 

(5) 设备 配置 检查 

本 文 对 认证 相关 的 基本 配置 不 做 歼 述 ,只 是 针对 防 内 网 外 连 功能 所 需 特 殊 配置 进行 检查 。 
防 内 网 外 连 功能 要 求 认证 方案 为 扩展 模式 ,相关 命令 如 下 。 

[BAS-radius-h3c] display this 

radius scheme h3c 

server-type extended-------| 配置 为 扩展 模式 
primary authentication 172.16.100.61 
primary accounting 172.16.100.61 

key authentication 123 


key accounting 123 
nas-ip 172.16.100.1 


EG: MC 管理 软件 1057 


说 明 : 
O 802. 1x 认证 模式 为 EAP 或 Portal 端口 组 配置 为 EAP 认证 方式 时 可 以 配置 标准 模式 


Radius Scheme。 


© 接 入 设备 配置 的 key 值 需 与 iMC 侧 接 入 设备 配置 的 key 值 保持 一 致 。 

O 与 第 三 方 接 入 设备 配合 认证 时 需 保证 该 设备 可 以 透 传 EAP 认证 报 文 。 

(6) 客户 端 ACL 配置 检查 

iNode 客户 端 通过 向 PC 网 卡 下 发 在 线 非 认 证 网 卡 ACL 和 离线 ACL 实现 防 内 网 外 连 功 


能 。 单 击 * 用 户 ” 盖 安全 策略 管理 ”终端 访问 控制 管理 "客户 端 ACL 管理 ”命令 确认 配 
置 的 客户 端 ACL 是 否 存在 问题 ,如 图 8-237 所 示 。 


ACLS 称 a Aksi ° üe en 

11 未 分 组 B ü 
高 线 ACL 未 分 组 B ü 
在 线 非 认证 网 卡 ACL 未 分 组 B ü 


8-237 ”确认 配置 的 客户 端 ACL 是 否 存 在 问题 
单 击 “修改 ?按钮 查看 配置 的 具体 ACL 规则 ,如 图 8-238 所 示 。 


ACL 名 称 * 离线 ACL 

ACLARE OO 

描述 | 

35258 + 未 分 组 ~ 

ACL 规 则 信息 

ACL 规 则 列表 
动作 协议 目 69Ip 地 址 Bian Ea] 优先 级 OED 修改 
允许 = 172.16.0.0 255.255.255.0 一 一 + m 
允许 = 10.0.0.0 255.0.0.0 一 一 + B 


图 8-238 查看 配置 的 具体 ACL 规则 
说 明 : 
O 在 线 非 认证 网 卡 ACL: 用 户 在 线 时 所 有 非 认 证 网 卡 应 用 的 ACL。 
@ 离线 ACL: 用 户 下 线 后 ,所 有 网 卡 应 用 的 ACL。 
O iNode 客户 端 在 线 或 离线 时 的 受 控 规则 如 下 。 
用 户 上 线 前 ,所 有 网 卡 应 用 定制 防 内 网 外 连 功能 时 配置 的 默认 规则 ,放行 或 丢弃 所 有 报 


文 , 用 户 上 线 成 功 后 ,认证 网 卡 访问 网 络 不 受 限制 ; 所 有 非 认 证 网 卡 应 用 在 线 非 认证 网 卡 
ACL。 如 果 未 配置 在 线 非 认证 网 卡 ACL, 则 所 有 非 认 证 网 卡 继续 使 用 默认 规则 ; 用 户 下 线 
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后 ,所 有 网 卡 应 用 离线 ACL 或 ping 情况 离线 ACL。 如 果 未 配置 离线 ACL 或 ping 情况 
ACL, 则 所 有 网 卡 继续 使 用 默认 规则 。 

用 户 下 线 后 ,所 有 网 卡 应 用 离线 ping 监控 服务 器 来 监控 内 网 外 连 。 

@ 如 果 iNode 客户 端 未 定制 防 内 网 外 连 功能 ,而 iMC 的 服务 中 启用 了 防 内 网 外 连 , 则 客 
户 端 身份 认证 成 功 后 随即 下 线 , 同 时 会 显示 iMC 下 发 的 提醒 信息 “服务 器 要 求 客 户 端 启用 防 
内 网 外 连 功能 ”。 

(7) 内 网 外 连 策略 检查 

客户 端 ACL 配置 没有 问题 后 需要 确认 内 网 外 连 策略 是 否 应 用 了 正确 的 客户 端 ACL ,点 
击 “ 用 户 ”>“ 安 全 策略 管理 ”>“ 终 端 访 问 控制 管理 ”>“ 内 网 外 连 策略 "命令 查看 内 网 外 连 策略 
信息 是 否 正确 ,是 否 引用 了 正确 的 客户 端 ACL, 如 图 8-239 所 示 。 


mie 
内 网 外 连 策略 信息 


内 网 外 连 策略 


v] 根据 用 户 是 否 在 线 配置 防 内 网 外 连 


8-239 内 网 外 连 策略 检查 


说 明 : 

(D 根据 用 户 是 否 在 线 配置 防 内 网 外 连 分 为 如 下 两 种 情况 。 

在 线 非 认证 网 卡 ACL: 用 户 在 线 时 , 非 认 证 网 卡 应 用 的 ACL。 下 拉 框 中 的 ACL 规则 ,在 
“用 户 ”>“ 安 全 策略 管理 ”>“ 终 端 访问 控制 管理 ”>“ 客 户 端 ACL 管理 ”中 配置 。 

离线 ACL: 当前 用 户 下 线 后 ,所 有 网 卡 应 用 的 ACL。 下 拉 框 中 的 ACL 规则 ,在 “用 
户 ”>“ 安 全 策略 管理 ”>“ 终 端 访问 控制 管理 ”>“ 客 户 端 ACL 管理 ”中 配置 。 

© 根据 能 否 ping 通 特定 IP 配置 防 内 网 外 连 : 当前 用 户 下 线 后 ,根据 ping 通 特 定 IP 的 情 
况 配 置 所 有 网 卡 的 ACL。 如 果 下 发 了 该 配置 ,将 优先 应 用 于 离线 ACL。 

目的 IP 地址 : 离线 ping 特定 IP 的 设置 ,最 多 设置 两 个 ,可 以 只 配置 一 个 。 

ping 通 离线 ACL: 当前 用 户 下 线 后 ,在 ping 通 特定 IP 的 情况 下 所 有 网 卡 应 用 的 ACL。 

ping 不 通 离线 ACL: 当前 用 户 下 线 后 ping 不 通 特定 IP 情况 下 所 有 网 卡 应 用 的 ACL。 

@ 离线 ping 监控 服务 器 来 监控 内 网 外 连 : 当前 用 户 下 线 后 ,是 否 能 ping 通 设置 的 “监控 
服务 器 IP” 来 判断 该 机 器 是 否 连接 了 外 网 。 

监控 服务 器 IP: 设置 的 监控 服务 器 的 IP 地 址 ,可 以 设置 多 个 。 

最 大 记录 数 : 防 内 网 外 连 配置 离线 监控 最 大 记录 数 ,超出 的 将 自动 覆盖 旧 的 记录 。 

ping 间隔 : 终端 ping 离线 监控 服务 器 的 时 间 间 隔 。 

@ 启用 该 项 后 iNode 在 离线 的 情况 下 会 定时 ping 监控 服务 器 ,如 果 能 ping 通则 进行 记 
录 并 在 iNode 下 次 接 入 网 络 后 上 报 给 iMC 服务 器 以 供 审计 。 
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@ 内 网 外 连 审计 : 用 户 在 线 时 , 非 认证 网 卡 访问 外 网 的 结果 审计 。 

© 审计 策略 : 下 拉 框 中 的 审计 策略 , 单 击 “用 户 ”>“ 安 全 策略 管理 ”一 “终端 访问 控制 管 
理 ”>“ 内 网 外 连 审计 策略 ”命令 中 配置 。 

(8) 内 网 外 连 审计 策略 检查 

单 击 * 用 户 ”“ 安 全 策略 管理 ”一 “终端 访问 控制 管理 ”~ 内 网 外 连 审 计策 略 ” 命 令 ,配置 
需要 进行 审计 的 网 段 ,如 图 8-240 所 示 。 


区 用 户 > 安全 策略 管理 > 交 谤 访问 控制 管理 > 内 网 外 连 审 计策 赂 > 修改 内 网 外 连 审计 策略 


[ 
修改 内 网 外 连 审 计策 格 


审计 策略 默认 动作 Onit 〇 不 市 计 


审计 ACL 规 则 信息 


审计 ACL 规 则 列表 


图 8-240 ”内 网 外 连 审计 策略 检查 
说 明 : 
O iNode 仅 支 持 用 户 在 线 时 非 认 证 网 卡 访问 外 网 的 审计 ,不 支持 离线 审计 。 
© 在 防 内 网 外 连 策略 里 面 调用 该 审计 策略 。 
(9) uam 服务 配置 检查 
确认 账号 引用 的 服务 配置 了 正确 的 防 内 网 外 连 策略 ,如 图 8-241 所 示 。 


GHP > ENEE > EAESEN > HAANES 

FAM 

服务 名 * 8021x 服务 后 过 

Asing + a - mus ms ° 8021x -© 
purem + 不 合用 š 
RUMARHEFAE ° 不 民用 -o BUER + FE ~ 
pussess: |o wumssemami ° ° | 
Esme 
| mane | EEEO 


图 8-241 uam 服务 配置 检查 
说 明 : 
(D 服务 后 组 需要 与 设备 侧 配 置 的 域名 保持 一 致 ,可 以 为 空 ,具体 请 参考 云图 人 iMC 802. 1x 
认证 问题 排查 指导 》。 


1060 根 叔 的 云图 一 一 网 络 故 障 大 排查 


© V5 版 本 iMC 必须 使 用 安全 策略 才 可 以 启用 防 内 网 外 连 功能 ,V7 版 本 不 再 依赖 EAD 
安全 策略 。 

(10) uam 账号 配置 检查 

检查 账号 是 否 申请 了 对 应 的 接 入 服务 ,如 图 8-242 所 示 。 


一 用 户 ” 接 入 用 户 > RHA > 接 入 用 户 信息 


接 入 用 户 信息 


基本 信息 

用 户 姓名 802 证 件 号 码 802 
通讯 地 址 电话 

电子 邮件 用 户 分 组 未 分 组 
接 入 信息 

账号 名 802 

允许 用 户 幢 改 密码 是 和 " 
开户 日 其 2015-03-25 下 次 司 录 须 修 改 密 码 = 
生效 时 间 失效 时 间 

最 大 闲置 时 长 (分 钟 ) 在 二 数量 限制 1 

在 线 状态 += 最 后 下 线 时 间 2015-06-29 08:08 
登录 提示 信息 

创建 者 

接 入 服务 


务 名 服务 后 经 korena 分 配 IP 地 址 
图 8-242 uam 账号 配置 检查 
说 明 : 
O) 检查 账号 状态 是 否 正 常 ,是 否 在 有 效 期 内 。 
@ 检查 接 入 服务 配置 。 
(11) iNode 客户 端 配 置 检查 


确认 iNode 客户 端 订 制 了 防 内 网 外 连 功 能 。 确 认 方 法 如 下 : 打开 管理 中 心 , 单 击 “ 历 史 定 
制 信息 ”命令 ,找到 定制 发 生 时 间 后 , 单 击 * 详 细 信息 ”命令 ,就 会 出 现 如 图 8-243 所 示 。 


8-243 ”确认 iNode 客户 端 订 制 了 防 内 网 外 连 功能 


同时 确认 iNode 侧 驱动 安装 正常 ,驱动 安装 正常 时 在 “网 络 连接 ”一 * 属 性 ”里面 显 示 如 
图 8-244 所 示 ,如 果 安 装 不 正常 可 以 通过 重 装 或 修复 iNode 解决 。 

说 明 

D 订 制 客户 端 时 需要 从 基本 功能 项 里 面 匀 选 “ 防 内 网 外 连 ” 并 选择 默认 动作 。 

@ 客户 端 防 内 网 外 连 功能 通过 安装 一 个 NDIS Intermediate 过 滤 驱 动 来 实现 。 此 驱动 随 
iNode 客户 端 安装 印 载 。 驱 动 安装 完成 后 ,将 被 Windows 自动 加 载 到 每 一 个 网 卡 中 。 每 一 个 
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AR 一 


网 络 
||| maen: 
AP Intal R) 825T9UI Gigabit Network Connection 
mao] 
此 连接 使 用 下 列 项 目 0) 


加 


Internet 协议 版 本 4 (TCP/IPv4) 
十 链 路 层 拓扑 发 现 映射 器 I/0 驱动 程序 
十 树 路 层 拓扑 发 现 响 应 程序 


RRM.. HS) EEO J 


iNode NDIS LightHeight Filters 


8-244 WAIA iNode 侧 驱动 安装 正常 


经 过 网 卡 的 报 文 均 会 经 过 此 驱动 ,因此 报 文 会 被 过 滤 。 驱 动 的 启动 和 停止 依赖 于 网 卡 的 启 停 ， 
而 不 依赖 于 iNode。 因 此 无 论 iNode 是 否 启 动 , 驱 动 都 会 对 流出 方向 的 IP 报 文 进行 过 滤 。 

@ 由 于 驱动 位 于 系统 IP 协议 栈 之 下 ,所 以 无 论 网 络 接口 是 什么 形态 (包括 以 太 网 卡 、 
Modem, GPRS/CDMA 移动 上 网 卡 等 ) ,只 要 是 以 IP 包 传 输 数 据 , 均 可 以 过 滤 。 

@ iNode 客户 端 成 功 完成 802. 1x 或 Portal 认证 后 ,iNode 会 给 完成 认证 网 卡 的 驱动 实例 
下 发 指令 解除 过 滤 , 从 而 使 认证 网 卡 不 受 限 制 。 当 用 户 下 线 后 ,iNode 会 再 次 下 发 指令 恢复 
过 滤 。 

O 认证 终端 如 果 安 装 有 多 个 带 有 驱动 功能 的 软件 时 ,建议 最 先 安装 iNode。 

(12) 用 户 日 志 审 计 

单 击 用户” 一 用户 接 和 日志” 内 网 外 连 访问 审计 上 日志” 命令 ,里 面 可 以 查询 到 用 户 在 
线 时 非 认 证 网 卡 访问 外 网 的 情况 ,如 图 8-245 所 示 o 


在 线 内 网 外 连 访问 审计 日 志 列表 


帐号 名 用 户 姓 名 ç 开始 时 间 ( 服 务 串 ) ARNAS) ”目的 IP 地 址 ç 目的 屿 口号 ° 协议 号 报 文 个 数 ç 详细 信 ! 
802 802 RSS e n e v 130 īa 
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8-245 用户 日 志 审 计 


说 明 : 审计 日 志 上 报 间 隔 由 防 内 网 外 连 策略 里 面 配置 的 审计 上 报 周期 决定 ,不 足 一 个 周 
期 的 由 iNode 下 次 上 线 时 上 报 。 
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访客 管理 系统 适用 于 需要 频繁 接待 外 来 人 员 的 企业 或 公司 。 主 要 使 用 场景 有 以 下 两 种 。 

(1) 接待 零散 访客 : 将 接待 人 员 使 用 的 iMC EIA 接 人 用 户 指定 为 访客 管理 员 ,由 访客 管 
理 员 直 接 登 录用 户 自 助 服务 平台 中 直接 创建 访客 。 访 客 创建 后 即 生效 。 

(2) 集体 访客 (如 公司 组 织 的 大 型 培训 等 ) : 由 访客 自行 登录 用 户 自助 服务 平台 中 预 注册 
访客 , 预 注册 时 指定 访客 管理 员 。 然 后 由 对 应 的 访客 管理 员 登 录 到 用 户 自 助 服务 平台 中 激活 
访客 。 访 客 激活 后 即 生 效 。 

应 用 方式 主要 有 3 种 : @ 访 客 预 注册 十 访客 管理 员 转 正 审批 的 流程 。 四 访客 预 注 册 十 免 
审批 ,自动 转正 的 流程 。@ 访 客 管理 员 直 接 为 来 访 人 员 创 建 访客 账号 的 流程 。 

访客 基本 功能 的 排 错 思路 : 访客 功能 基于 基本 的 认证 环境 , 须 确保 基本 认证 没有 问题 。 
关于 认证 故障 的 排查 请 查阅 认证 类 云图 。 访 客 排 错 首 先 检查 服务 器 软 硬 件 运 行 状态 ,主要 关 
注 访客 功能 对 应 组 件 的 部 署 情况 、 进 程 运行 状态 。 然 后 对 访客 业务 基本 参数 进行 检查 。 青 之 
后 对 访客 的 策略 配置 .服务 配置 管理 员 配 置 相应 的 进行 检查 。 最 后 车 访客 创建 没有 问题 ,可 
以 手动 创建 访客 后 ,测试 其 他 功能 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

需要 对 照 ( 智 能 管理 中 心 iMC) 部 署 和 硬件 配置 方案 ), 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 ,请 严格 执行 。 

D 对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、Portal 网 页 在 线 数量 多 , 需 考 虑 是 否 根 据 ( 智 能 管理 中 心 (iMC) 部 
署 和 硬件 配置 方案 》 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 ,重点 需要 检查 内 存 占 用 是 
否 过 高 ,内存 大 小 是 否 满足 (智能 管理 中 心 GIMC) 部 署 和 硬件 配置 方案 ) 计 算出 的 要 求 , 操 作 系 
统 和 数据 库 是 否 为 64 位 ,建议 使 用 64 位 系统 。 

© 单 击 “ 开 始 ” 一 “智能 部 署 监控 代理 "命令, 选择“ 部署” 标签, 检查“ 用户 接 入 管理 ”>“ 用 
户 自助 服务 "是 已 部 署 的 状态 。 若 访客 应 用 涉及 终端 识别 , 则 “用 户 接 入 管理 ”>“EIP 服务 器 ” 
组 件 也 应 处 于 部 署 状 态 。 具 体 如 图 8-246 所 示 , 关 于 其 他 “用 户 接 入 管理 ”组件 的 检查 方式 ,请 
参考 认证 类 云图 。 

(2) iMC 服务 器 运行 情况 检查 

要 使 用 访客 功能 ,除了 确保 UAM 相关 进程 运行 正常 外 ,还 要 检查 JServer 是 否 正常 ,可 
使 用 以 下 方法 简单 查看 。 

D 单 击 “开始 一 “智能 部 署 监控 代理 ”命令 ,选择 “进程 ”标签 ,检查 访客 功能 主要 进程 为 
jserver 进程 , 若 分 布 式 部 署 时 检查 进程 webserver。 其 他 “用 户 接 入 管理 ”进程 请 参考 认证 类 
云图 。 
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看 智能 部 署 监 控 代 理 = [D| x! 
监控 | 进程 部 署 | 运行 环境 


S 智能 第 略 服 务 代理 提供 统一 的 第 略 服务 代理 功能 . . ，imC ISP 7.1 Œ0305) 已 部 署 ER 
f BATE - 用 户 接 入 管理 提供 对 接 入 用 户 、 接 入 业务 的 . . ，iMC UAM 7.1 (E0305) 已 部 署 。” 主 服务 器 
9 用 户 接 入 管理 - Portal 服 务 器 提供 Port 遇 认证 功能 。 iMC UAM 7 1 (E0305) 已 部 署 ” 主 服 务 器 
O 用 户 接 入 管理 - EIP 从 服务 器 部 署 在 ETP 服务 器 之 外 的 其 他 iNC EIP 7.1 (E0305) 未 部 署 

S 用 户 接 入 管理 - 策略 服务 器 提供 安全 认证 的 功能 。 ic UAM 7.1 (E0305) 已 部 署 。” 主 服 务 器 

8 用 户 接 入 管理 - 用 户 接 入 管理 从 服务 器 部 署 在 用 户 接 入 管理 服务 器 之 . . ，iM UAM 7. 1 (E0302) 未 部 署 

$ 自主 页 面 定制 web 服务 器 提供 一 个 独立 的 wet 容 器, H... imc VAM 7.1 (E0305) 已 部 署 ” 主 服务 器 

f@ 用 户 接 入 管理 - Portal 服 务 器 供 Port 虹 认证 功能 。 iMC UAN 7.1 (E0305) 未 部 署 

B 白 主 页 面 定制 Leh 服务 器 H 中 立 的 weh 容 ; 用 iMC MAM 7 1 (Fn3n5) 未 部 署 


图 8-246 WERE 
© iMC 服务 运行 情况 检查 具体 如 图 8-247 所 示 。 


看 智能 部 署 监控 代理 = [D| x 
监控 进程 | 部 署 | 运行 环境 | 


o 9 " 
© ine ee 已 经 自动 本 机 0 7,544 2015-07-22 13:57:44 核心 进程 — 自动 
© i.e 已 经 启动 本 机 0 15, 636 2015-07-22 13:57:49 可 管理 进程 ”自动 
O tttpserver .exe PEBE 本 机 0 9, 116 2015-07-22 13:57:33 可 管理 进程 ”自动 
DEFF 已 经 启动 ” 本 机 0 27, 076 2015-07-26 03:00:03 可 管理 进程 ”自动 
O -ming exe 已 经 启动 ” 本 机 0 7, 744 2015-07-22 13:57:51 核心 进程 。” 自动 
rp 已 经 启动 ” 本 机 p 可 这 型 进程“ 自动 
O danserver 已 经 启动 本 机 ° TERE Bih 
O emoserver 已 经 启动 本 机 ° 本 管理 进程 “自动 
O moninagent 0 JEH Éi 
O 0 可 管理 进程 
0 


7:24 可 管理 进程 “自动 
245, 036 2015-07-22 13:57:24 可 管理 进程 ”“ 自 & 


LA portalserver 


O umijm 已 经 启动 ” 本 机 0.04 39,256 2015-07-22 13:57:24 可 管理 进程 ”自动 
© usnThirakuth 已 经 启动 ” 本 机 0 ”315, 052 2015-07-22 13:57:24 可 管理 进程 ”自动 
O nschapv2server 已 经 启动。 本 机 0 255, 456 2015-07-22 13:57:24 可 管理 进程 自动 
© eipserver 已 经 启动 本 机 0 249,5482015-( 可 管理 进程 ”自动 
Q policyserver 已 经 启动 本 机 0 221, 700 2015-07-2: 可 管理 进程 ”自动 
© difserver 已 经 启动 ” 本 机 0 215, 440 2015-07-22 13:57:24 可 管理 进程 自动 
O stnserver 已 经 启动 本 机 0 230,248 2015-07-22 13:57:24 可 管理 进程 ”自动 
O :ma 已 经 启动 ” 本 机 O 249,096 2015-07-22 13:57:24 可 管理 进程 ”自动 7 
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说 明 : 
(a) 一 般 情 况 下 ,这些 进 程 通过 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 


(b) 通过 netstat -aon |findstr : 


进程 对 应 的 PID 一 致 。 


端口 (通常 为 80 或 8080) ,查看 查询 结果 中 PID 是 否 java 


(c) 若 “ 用 户 接 入 管理 ”>“ 用 户 自助 管理 ”组 件 分 布 式 部 署 其 他 服务 器 , 则 从 机 上 查看 的 
进程 为 webserver 进程 。 同 时 主 服务 查看 jserver 进程 。 
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(3) 访客 基本 参数 检查 
O 访客 业务 参数 配置 。 
系统 参数 是 访客 相关 的 常用 参数 ,可 以 根据 实际 需求 进行 修改 ,如 图 8-248 所 示 。 


Ë, 用 户 > waqaspas 

ipe papas: 
基本 功能 
失效 沪 客 保 吉 时 长 (天 1 @ 
短信 开户 获取 密码 辣 陋 时 长 ( 比 ) 60 © 
WE iaid ¥ 
人 允许 同 一 电 活 被 多 个 访客 使 用 = "° 
F52ffiocEereperinpar= st > 加 
缺 省 沪 客 用 户 分 组 未 分 组 “O 

图 8-248 访客 业务 参数 配置 
说 明 : 


(a) 失效 访客 保留 时 长 ; 访客 对 应 的 账号 失效 后 ,账号 在 系统 中 保存 的 时 长 。 超 时 后 访 
客 将 被 自动 删除 。 

(b) 默认 访客 用 户 分 组 : 该 参数 决定 了 访客 管理 员 在 自助 系统 中 增加 的 访客 ,以 及 在 自 
助 系统 中 激活 的 预 注册 访客 所 属 的 用 户 分 组 。 

(c) 短信 开户 获取 密码 间隔 时 长 : 访客 注册 简化 页 面 进 行 短信 开户 时 ,如 果 开 户 成 功 ,再 
次 获取 密码 需要 等 待 的 时 长 。 

(d) 访客 预 注册 : 该 参数 控制 是 否 启 用 访客 预 注册 功能 ,超过 15 天 未 正式 注册 的 预 注册 
访客 会 被 系统 自动 清除 。 

(e) 允许 同一 电话 被 多 个 访客 使 用 : 该 参数 控制 访客 注册 和 预 注册 时 ,是 否 允 许 同一 电话 
被 多 个 访客 使 用 。 

O 预 注册 访客 关联 已 存在 的 用 户 : 选择 禁止 表示 在 预 注册 访客 时 ,如 果 访 客 姓名 与 证 件 
号 码 已 经 存在 , 则 注册 失败 。 选 择 允许 则 可 以 关联 到 已 存在 的 用 户 。 

@ 访客 管理 员 配 置 。 

访客 管理 员 的 主要 功能 是 管理 访客 和 激活 预 注册 访客 。 访 客 管理 员 和 访客 的 关联 关系 在 
增加 访客 或 预 注册 访客 时 确立 。 

访客 管理 员 分 为 两 种 类 型 : 访客 管理 员 和 超级 访客 管理 员 。 访 客 管理 员 只 能 管理 名 下 的 
访客 和 预 注册 访客 。 超 级 访客 管理 员 可 以 管理 所 有 的 访客 和 预 注册 访客 。 

车 希望 访客 转正 模式 是 自动 转正 , 则 必须 设置 默认 访客 管理 员 。 如 图 8-249 所 示 , 标 红 处 
设置 默认 访客 管理 员 。 

已 经 增加 为 访客 管理 员 的 用 户 分 组 ,如 果 增 加 的 接 入 用 户 关联 了 此 用 户 分 组 ,那么 增加 的 
接 入 用 户 默认 为 访客 管理 员 。 如 图 8-250 所 示 用 户 分 组 imc, 其 中 的 接 入 用 户 都 关联 为 访客 管 
理 员 。 
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8-250 ”关联 访客 管理 员 


说 明 : 单 击 默 认 访客 管理 员 列 中 的 链接 ,可 以 为 在 Portal 页 面 自动 注册 的 访客 指定 管理 
员 。 注 意 ,只 能 将 一 个 访客 管理 员 设 置 为 默认 访客 管理 员 。 

@ 访客 服务 配置 。 

访客 服务 是 专门 供 访客 接 入 网 络 的 服务 ,在 功能 上 与 接 入 用 户 使 用 的 服务 基本 一 致 ,如 
图 8-251 所 示 。 
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8-251 访客 服务 配置 
说 明 : 


(a) 分 配 IP 地 址 的 服务 不 能 设置 为 访客 服务 。 

(b) 访客 使 用 的 访客 服务 即使 使 用 了 计 费 策略 也 不 会 计 费 。 访 客服 务 使 用 计 费 策略 主要 
是 为 了 达到 限制 访客 用 户 接 入 网 络 时 长 的 目的 。 

(c) 单 击 默认 访客 服务 列 中 的 链接 ,设置 该 服务 是 否 为 默认 的 访客 服务 。 该 功能 用 于 无 
法 选择 访客 服务 的 场景 : 短信 开户 与 认证 、 二 维 码 开户 与 认证 的 自动 转正 方式 、 自 助 服务 访客 
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预 注册 的 自动 转正 方式 .BYOD 访客 预 注册 的 自动 转正 方式 、 智 能 终端 访客 管理 员 自 助 平台 
中 的 访客 审批 访客 注册 。 注 意 , 只 有 一 个 服务 可 以 用 于 访客 的 自动 转正 。 

@ 访客 策略 配置 。 

访客 策略 用 于 增加 访客 和 预 注册 访客 的 相关 参数 配置 ,其 中 具体 包括 基本 信息 、 访 客 参 
数 .访客 服务 和 访客 用 户 分 组 的 配置 。 未 配置 访客 策略 的 访客 用 户 分 组 则 使 用 默认 访客 策略 ， 
如 图 8-252 所 示 。 


图 用户 > 访客 策略 > 访客 第 赂 详细 信息 


基本 信息 


图 8-252 默认 访客 策略 
(a) 基本 功能 。 图 8-253 所 示 为 基本 功能 。 


sss 


基本 功能 


预 注册 访客 自动 转正 允许 

访客 密码 通知 方式 | 发送 密码 通知 短信 v 发送 密码 通知 电子 部 件 
访客 预 六 册 后 显示 二 维 码 是 

访客 在 线 数 呈 限 制 默 认 值 1 

访客 在 线 数 重阳 再 最 大 值 1 

访客 生效 方式 手工 所 定 生效 时 间 


图 8-253 ”基本 功能 

说 明 

@ 预 注册 访客 自动 转正 : 如 果 选 择 “ 允 许 ” 表 示 终 端 用 户 预 注册 为 访客 后 自动 转正 ,而 不 
需要 访客 管理 员 审 批 转正 。 如 果 选 择 “ 禁 止 " 表 示 需 要 访客 管理 员 审 批 后 , 预 注册 访客 才能 转 
正 。 只 有 当 单 击 “ 访 客 管理 ”>“ 访 客 业务 参数 配置 ”命令 中 的 “访客 预 注册 ”设置 为 “允许 ”时 ， 
该 参数 才 生 效 。 允 许 访客 自动 转正 时 ,必须 指定 默认 访客 管理 员 和 默认 访客 服务 。 

D 访客 密码 通知 方式 : 选择 告知 访客 登录 密码 等 信息 的 方式 。 告 知 方式 包括 短信 和 电 
子 邮 件 , 可 以 同时 选择 两 种 方式 。 如 果 告 知 方式 为 短信 , 则 需要 启用 短信 功能 ,详细 说 明 请 参 
见 短信 功能 配置 ; 短信 的 内 容 在 “消息 下 发 ”中 定制 。 如 果 告 知 方式 为 电子 邮件 ,邮件 的 内 容 
由 UAM 预 置 ,无 法 修改 ; 同时 只 有 在 iMC PLAT 中 配置 正确 的 邮件 服务 器 ,才能 成 功 发 送 
邮件 。 如 果 未 选择 任何 一 种 方式 ,表示 不 将 密码 通知 到 访客 。 

© 访客 预 注册 后 显示 二 维 码 : 访客 预 注册 以 及 预 注册 自动 转正 ( 除 BYOD 方式 ) 的 结果 
页 面 是 否 显 二 维 码 。 

@ 访客 在 线 数 量 限制 默认 值 : 输入 访客 注册 页 面 中 “在 线 数量 限制 ”默认 显示 的 值 。 

@ 访客 在 线 数 量 限制 最 大 值 : 输入 访客 注册 页 面 中 "在 线 数 量 限制 "可 以 配置 的 最 大 值 。 

@@ 访客 生效 方式 : 如 果 选 择 “ 手 工 指定 生效 时 间 ” 表 示 访 客 管理 员 可 以 手工 指定 所 管理 
访客 的 生效 时 间 和 失效 时 间 , 如 果 选 择 “ 首 次 上 线 生 效 ” 表 示 访 客 首次 上 线 后 更 新 生效 时 间 和 
失效 时 间 。 除 了 移动 访客 管理 自助 平台 注册 的 访客 ,其 他 方式 注册 的 访客 转正 时 ,访客 生效 时 
间 都 受 该 参数 控制 。 
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(b) 访客 用 户 默 认 值 和 快捷 开户 。 图 8-254 所 示 为 访客 用 户 默认 值 和 快捷 开户 。 


访客 用 户 的 默认 值 
Portat 无 夺 知 认证 最 大 纪 定 数 1 
加 认 访客 有 效 时 长 2 天 
访客 电码 有 效 时 长 
访客 密码 生成 规则 sa 
快捷 开户 
短信 开户 与 认证 页 而 的 校 验 方式 随机 验证 机 方 式 
WERKER ERII YYMMDDhhmmssa 要 +4(0 厦 机 下 
DEBSAN = 
服务 名 服务 后 到 ss pueraa Est 
访客 可 申请 


8-254 访客 用 户 默认 值 和 快捷 开户 


说 明 : 访客 用 户 的 默认 值 设 置 如 下 。 

Portal 无 感知 认证 最 大 绑 定 数 : 如 果 选 择 1 一 5 表示 使 用 该 账号 进行 Portal 无 感知 认 
证 的 终端 数 不 能 超过 所 选 的 值 。 如 果 选 择 “ 不 支持 绑 定 ”表示 不 能 使 用 该 账号 进行 Portal 无 
感知 认证 。 只 有 当 “ 访 客 管理 ”>“ 访 客 业 务 参 数 配置 ”中 的 “访客 预 注册 ”设置 为 “允许 ”时 ,该 
参数 才 生 效 。 

D 默认 访客 有 效 时 长 : 输入 默认 情况 下 ,访客 的 有 效 时 长 。 注 册 访 客 时 ,如 果 未 设置 或 
无 法 设置 失效 时 间 , 则 访客 的 失效 时 间 取 该 参数 和 “所 管理 访客 的 最 大 有 效 时 长 ”的 较 小 值 。 
“所 管理 访客 的 最 大 有 效 时 长 "在 增加 访客 管理 员 时 配置 ,具体 请 参见 增加 访客 管理 员 。 

O 访客 密码 有 效 时 长 : 输入 访客 密码 的 有 效 时 长 ,从 访客 生效 时 开始 计算 。 访 客 只 在 密 
码 失效 前 才能 接 入 网 络 。 如 果 该 参数 保持 为 空 , 则 表示 访客 密码 永 不 失效 。 

@ 访客 密码 生成 规则 : 系统 自动 生成 访客 密码 的 规则 。UAM 支持 三 种 规则 , 即 n 位 数 
字 \n 位 字母 和 n 位 数字 十 字母 的 组 合 。 该 规则 对 访客 注册 过 程 中 手工 输入 的 密码 无 效 。 

快捷 开户 方式 如 下 。 

© 短信 开户 与 认证 页 面 的 校 验 方式 : 如 果 选 择 “ 指 定 授权 码 方式 ”, 则 还 需 配 置 授权 码 。 
如 果 选 择 “ 随 机 验证 码 方 式 ” 后 ,在 “短信 开户 与 认证 页 面 " 会 显示 含有 随机 信息 的 图 片 ,只 有 正 
确 输入 了 图 片 中 的 内 容 才 能 进行 注册 ; 如 果 选 择 “ 指 定 授 权 码 方式 "后 ,在 “短信 开户 与 认证 页 
面 ” 中 会 要 求 终端 用 户 输入 授权 码 , 只 有 正确 输入 授权 码 才 能 进行 访客 注册 。 如 果 选 择 “ 不 验 
证 ”后 ,终端 用 户 直接 可 以 进行 访客 注册 。“ 随 机 验证 码 方式 ”和 “指定 授权 码 方式 ”可 以 防止 恶 
意 注册 。 

O 访客 账号 名 生成 规则 : 如 果 选 择 “ 前 缓 十 系统 时 间 的 毫秒 值 ?>, 则 还 需 配置 前 缓 。 例 
如 : 假设 某 个 访客 在 2014 年 1 月 1 日 8 点 8 分 8 秒 123 毫 秒 开 户 (该 时 间 对 应 的 毫秒 值 为 
1388534888123) ,如 果 选 择 “ 系 统 时间 的 毫秒 值 ", 则 账号 名 为 1388534888123; 如 果 选 择 “ 前 
组 十 系统 时 间 的 毫秒 值 ", 且 “前 组 ”配置 为 “auto”, 则 账号 名 为 auto1388534888123; 如果 选择 
“YYMMDDhhmmss 时 间 戳 十 4 位 随机 数 ”, 则 账号 名 为 140101080808ZZZZ, 其 中 ZZZZ 是 四 
位 随机 数字 。 
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(c) 对 于 非 默认 的 访客 策略 ,可 以 选择 使 用 的 访客 服务 和 策略 生效 的 访客 用 户 分 组 ,如 
图 8-255 所 示 。 


访客 服务 列表 [=] 
服务 名 Li 1S museo 服务 描述 
口 C10914 可 申请 
口 VIP 可 申请 
口 anonymous 可 申请 
口 eia_auth_test01 test 可 申请 
= 访客 可 申请 
访客 用 户 分 组 列表 = 
C 选择 用 户 分 组 时 自动 选中 其 父 分 组 和 了 分 组 
国 全 部 展开 已 全 部 收编 
=-= 财经 管理 部 
= 供应 链 管理 部 
图 8-255” 非 默认 的 访客 策略 
说 明 : 


一 个 访客 策略 可 以 配置 多 个 访客 用 户 分 组 ,一 个 访客 用 户 分 组 只 能 被 一 个 策略 使 用 。 

D 和 触 屏 版 用 户 自助 平台 不 支持 自 定义 的 访客 策略 。 

@ 直接 在 访客 用 户 分 组 列表 中 选择 访客 策略 关联 的 分 组 。 无 法 选择 已 经 关联 了 其 他 访 
客 策略 的 分 组 。 

@ 选项 “选择 用 户 分 组 时 自动 选中 其 父 分 组 和 子 分 组 ”。 如 果 选 中 该 项 ,每 选择 一 个 分 
组 ,UAM 都 会 自动 选择 该 分 组 的 父 分 组 和 子 分 组 。 取 消 选 择 亦 是 如 此 。 

(d) 短信 访客 业务 检查 。 

如 果 要 使 用 短信 访客 自动 开户 的 功能 ,必须 满足 以 下 所 有 条 件 。 

配置 短信 发 送 功能 

iMC Plat 7. 1E0303P13 之 后 ,iMC 上 配置 短信 功能 界面 统一 在 “系统 管理 "下 。 该 功能 用 
于 配置 短信 发 送 功能 的 参数 .“ 其 他 厂商 短信 平台 ?是 指 用 户 自 定义 的 第 三 方 短信 平台 ,需要 
进行 二 次 开发 。 具 体 短信 猫 设 置 和 短信 平台 配置 请 参考 配置 手册 。“ 邮 箱 转 短信 ”本 文档 不 涉 
及 ,如 图 8-256 所 示 。 
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图 8-256 短信 发 送 功能 


1070 根 叔 的 云图 一 一 网 络 故障 大 排查 


说 明 : 

CI) 使 用 短信 猫 作为 发 送 方式 效率 很 低 , 一 分 钟 只 能 发 送 四 条 信息 ,可 能 会 出 现 用 户 无 
法 接收 短信 的 现象 。 对 于 批量 发 送 短 信 的 功能 ,建议 使 用 短信 平台 来 操作 。 

M) 使 用 短信 平台 作为 发 送 方式 时 , 若 注册 序列 号 失败 ,并 且 返 回 错误 码 为 -1100, 则 需 
要 手动 修改 文件 iMC 安装 目录 \client\repository\imc\jars\emay. jar 中 的 config. properties 
文件 内 容 , 然 后 重启 iMC。 因 注册 码 的 格式 不 同 , 修 改 的 config. properties 文件 内 容 不 同 。 

序列 号 格式 与 config. properties 文件 内 容 对 应 如 下 。 

3SDK-EMY-0130-XXXXX 

url=http://sdkhttp. eucp. b2m. cn/sdk/SDKService?wsdl 

9SDK-EMY-0999-XXXXX 

url= http: //sdk999ws. eucp. b2m. cn:8080/sdk/SDKService?wsdl 

6SDK-EMY-6688-XXXXX 

url=http://sdk4report. eucp. b2m. cn:8080/sdk/SDKService?wsdI 

9SDK-EMY-0229-XXXXX 

url=http://sdk229ws. eucp. b2m. cn:8080/sdk/SDKService?wsdl 

如 果 仍 存在 问题 ,请 联系 序列 号 提供 商 。 

D 进行 短信 功能 配置 。 

选择 读 取 用户 手 机 号 码 信息 的 方式 ,如 图 8-257 所 示 。 


S5 用 户 > RAMMET > USEDE > SIEN > AMEME Orn 


Av 


图 8-257 短信 功能 配置 


说 明 : 手机 号 码 获 取 方 式 : 系统 提供 了 如 下 3 种 获取 发 送 手 机 号 码 的 方式 。 

CL) 电话 号 码 : 获取 用 户 注册 时 填写 的 电话 号 码 ,作为 发 送 短信 的 号 码 。 

CH) 账号 名 : 获取 用 户 的 账号 名 ,如 果 账 号 名 符合 电话 号 码 规范 ,作为 发 送 短信 的 号 码 。 

(HL) 电话 号 码 与 账号 名 : 优先 取 用 平台 用 户 的 “电话 ”为 短信 号 码 ,平台 用 户 电话 的 限制 
为 : 数字 、“(”“)”“ 十 “一 ”和 空格 , 取 用 时 将 保持 原 值 ,不 会 处 理 其 中 的 特殊 字符 。 如 果 平 台 
用 户 没有 “电话 ”, 则 再 尝试 取 值 UAM 接 入 账号 名 ,有 平台 用 户 电话 一 样 的 限制 : 数字 、“(” 
“)”“ 十 ”“ 一 ”和 空格 。 若 平台 用 户 无 电话 , 接 入 账号 名 也 不 符合 要 求 , 则 不 发 短信 。 

@ 配置 短信 内 容 。 

在 用 户 短信 通知 内 容 配置 ,定制 密码 通知 的 短信 内 容 , 如 图 8-258 所 示 。 

说 明 : 

(CI) 系统 基于 用 户 分 组 查找 对 应 的 短信 内 容 , 如 果 没 有 找到 指定 的 记录 , 则 不 会 发 送 短信 。 

(H) 一 个 用 户 分 组 只 能 被 一 个 用 户 短信 通知 使 用 。 

说 明 : 简单 测试 短信 功能 正常 的 方法 如 下 。 

选择 或 建立 一 个 有 手机 号 码 信息 的 测试 用 户 ,在 接 入 用 户 详细 信息 界面 的 右 侧 "动作 ” 栏 
中 , 单 击 “ 密 码 通知 短信 ”。 若 成 功 , 则 右上 角 提 示 发 送 短信 成 功 , 若 失败 , 则 根据 错误 提示 排查 
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图 8-258 短信 内 容 配置 
或 拨打 华 三 400 寻求 技术 支持 ,如 图 8-259 所 示 。 


test001 


s 
2015-07-07 


FBE 
2015-07-07 11:27 


图 8-259 简单 测试 短信 功能 方法 


@ 配置 访客 预 注册 和 自动 转正 功能 。 

启用 访客 系统 参数 : 访客 预 注册 。 启 用 访客 策略 参数 : 预 注册 访客 自动 转正 。 请 参考 本 
文档 第 (3) 步 ,此 处 不 效 述 。 

@ Portal 端口 组 下 选用 短信 开户 与 认 知 页 面 。 

根据 Portal 端口 组 信息 配置 中 的 页 面 推送 策略 不 同 , 配 置 有 所 不 同 。 如 果 不 选用 页 面 推 
送 策略 , 则 默认 认证 页 面 选 择 短信 开户 与 认证 。 如 果 选 用 页 面 推送 策略 , 则 需要 在 页 面 推送 策 
略 中 将 短信 开户 与 认证 页 面 增加 为 使 用 特定 场景 的 用 户 所 使 用 的 页 面 ,如 图 8-260 所 示 。 

说 明 : 

CI) 页 面 推送 策略 : 根据 配置 的 页 面 推送 策略 ,在 页 面 推送 策略 配置 中 找到 对 应 的 认证 
页 面 ,用 户 访问 Portal 服务 器 将 被 重 定向 到 此 页 面 。 如 果 所 配置 的 页 面 推送 策略 为 空 或 没有 
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图 8-260 页面 推送 策略 


找到 配置 的 认证 页 面 ,用 户 访问 Portal 服务 器 将 被 重 定向 到 配置 的 默认 认证 页 面 。 具 体 配置 
及 使 用 方法 请 登录 kms. h3c. com 查找 。 

CH) 默认 认证 页 面 : Portal 用 户 认 证 的 页 面 ,列表 中 罗列 了 系统 预定 义 的 页 面 和 “用 户 ” 一 
“ 接 入 策略 管理 ”>“ 终 端 页 面 定 制 ”>“Portal 页 面 定制 "中 为 PC 和 手机 定制 的 Portal 页 面 。 
系统 预定 义 的 页 面包 含 默认 “短信 开户 与 认证 (PC、Phone)” 页 面 。 

(e) 二 维 码 访 客 业 务 检查 

如 果 是 Portal 场景 ,必须 满足 以 下 所 有 条 件 。 

启用 访客 系统 参数 : 访客 预 注册 。 

请 参考 本 文档 第 (3) 步 “访客 基本 参数 检查 ”, 此 处 不 著述 。 

配置 Portal 认证 界面 为 二 维 码 开 户 与 认证 页 面 。 

根据 Portal 端口 组 信息 配置 中 的 页 面 推 送 策 略 不 同 , 配 置 有 所 不 同 。 如 果 不 选用 页 面 推 
送 策略 , 则 默认 认证 页 面 选择 二 维 码 开 户 与 认证 页 面 即 可 ; 如 果 选 用 页 面 推送 策略 , 则 需要 在 
页 面 推 送 策略 中 将 二 维 码 开户 与 认证 页 面 增加 为 使 用 特定 场景 的 认证 页 面 。 

WAA: 

(1) 页 面 推送 策略 : 略 。 

CH) 默认 认证 页 面 : Portal 用 户 认证 的 页 面 , 列 表 中 罗列 了 系统 预定 义 的 页 面 和 "用户 ”->~ 
“ 接 入 策略 管理 ”>“ 终 端 页 面 定 制 ”>“Portal 页 面 定制 "中 为 PC 和 手机 定制 的 Portal 页 面 。 
系统 预定 义 的 页 面包 含 默认 “二 维 码 开户 与 认证 (PC、Phone)” 页 面 。 

O 如 果 是 BYOD 场景 ,必须 满足 以 下 所 有 条 件 。 

需要 部 署 自 助 服务 组 件 .EIP 组件。 

请 参考 本 文档 第 (1) 步 “iMC 服务 器 安装 部 署 规范 检查 ”。 

启用 如 下 访客 系统 参数 : 访客 预 注册 

请 参考 本 文档 第 (3) 步 “访客 基本 参数 检查 ”。 

存在 默认 访客 管理 员 、 默 认 访客 服务 。 

请 参考 本 文档 第 (3) 步 “访客 基本 参数 检查 ”。 

配置 BYOD 界面 为 二 维 码 开户 与 认证 页 面 。 页 面 推送 策略 里 选择 认证 方式 为 "MAC”， 
二 维 码 开户 与 认证 页 面 作为 默认 BYOD 页 面 ,如 图 8-261 所 示 。 

说 明 : 

CI) 页 面 推送 策略 是 为 了 用 户 通过 不 同 的 认证 方式 进行 认证 时 ,根据 不 同 条 件 推送 不 同 
认证 页 面 而 配置 的 策略 。 

CH) 当 用 户 访问 BYOD 页 面 时 ,根据 MAC 认证 方式 推送 符合 条 件 的 认证 页 面 。 
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O 配置 了 “页 面 推送 策略 ”: 则 用 户 与 认证 页 面 的 对 应 关系 由 “页 面 推送 策略 ”功能 的 具 
体 配置 决定 。 如 果 在 页 面 推送 策略 配置 中 没有 找到 匹配 的 认证 页 面 ,认证 页 面 将 使 用 页 面 扒 
送 策略 默认 MAC 认证 页 面 。 

D 未 配置 “页 面 推送 策略 ”,BYOD 将 推送 默认 MAC 认证 页 面 。 

AI) MAC 认证 方式 页 面 推送 策略 只 能 有 一 个 。 

(f) 自助 功能 检查 

检查 系统 参数 自助 组 件 端 口 配置 。 

访客 功能 依赖 单 击 “ 接 入 用 户 管 理 ”>“ 用 户 自助 组 件 " 命 令 , 若 需 保证 可 以 正常 访问 用 户 
自助 页 面 ,如 图 8-262 所 示 。 


MERSE 82007-2014 MHETRE , RE-DOR, 
EIEN, Firefox 30 及 以 上 版 本 、Chrome 35 BLEE, MERAREETEE200, 


8-262 ”用 户 自助 页 面 
配置 界面 单 击 “ 用 户 ” 一 * 接 人 策略 管理 ”一 “业务 参数 配置 "一 “系统 配置 "一 "系统 参数 配 


置 ?命令 下 ,自助 页 面 的 端口 要 与 访问 “http://IP: 端 口 /selfervice” 中 的 端口 一 致 ,如 图 8-263 
所 示 。 
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自动 服务 者 数 

自 吉 各 登录 艰 审 WE IO ii a bd ~@ 
L ua 10 L. L ~@ 
L. == ` 用 广 所 由 在 线 信 息 启用 -© 
单 由 号 每 日 提单 数 限 制 0 ~ 10 © L 80 © 


8-263 ”自助 服务 参数 


说 明 : 自助 服务 器 端口 : 只 有 出 现 以 下 情况 时 才 需 要 修改 。 如 果 管 理 员 修改 了 自助 配置 
文件 (一 iMC 安装 目录 二 \client\conf\http. properties) 中 的 imc. http. port, 则 必须 将 该 参数 
也 进行 同步 修改 。 例 如 ,imc. http. port 由 8080 修改 为 8088, 则 该 参数 也 必须 修改 为 8088。 
修改 完成 在 iMC 部 署 监控 代理 中 重启 JServer 进程 ,使 自助 配置 文件 的 修改 生效 。 如 果 iMC 
为 分 布 式 环境 且 自 助 服务 组 件 部 署 在 从 服务 器 上 , 则 只 需 重 启 自助 服务 组 件 所 在 从 服务 器 上 
的 WebServer 进程 即 可 。 

(g) 访客 创建 后 认证 登录 测试 

查看 所 有 访客 界面 ,访客 账号 创建 正常 ,基本 信息 正常 。 那 么 之 后 的 认证 类 似 于 普通 正常 
用 户 进行 Portal 或 802. 1x 认证 ,如 图 8-264 所 示 。 此 时 故障 排查 请 参考 认证 类 云图 ,或 咨询 
400 售后 热线 。 


h. 用户 > 所 有 访客 PYTYTYTO 
访客 查询 高 级 查 词 
账号 名 访客 姓 各 
oros Soo v - Emri 
| RER a 访客 姓名 © 单位 失效 时 间 ° 访客 用 户 分 组 管理 者 ”管理 如 用 户 分 组 。 创建 日 期 ° 
未 拓 到 符合 条 件 的 记录 
共有 0 条 记录 , 当前 第 0 - 0, 第 1⁄1 页 «|>|» |s [j 


图 8-264 访客 创建 后 认证 登录 测试 
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8.1.23 iMC NTA/UBA 管 
08 iMC 管理 软件 理 NetStream 日 
志 故 障 排查 


1. 开始 

iMC NTA/UBA 两 个 组 件 均 有 管理 NetStream 日 志 的 功能 ,其 中 NTA 面向 网 络 流量 分 
析 ,UBA 面向 用 户 行为 审计 。iMC NTA/UBA 管理 NetStream 的 问题 排查 思路 主要 分 为 以 
下 两 大 部 分 。 

O 设备 侧 是 否 将 对 应 流量 转换 生成 NetStream 日 志 并 将 日 志 发 送 给 iMC NTA/UBA IR 
务 器 。 

@ iMCNTA/UBA 服务 器 是 否 收 到 设备 侧 的 NetStream 日 志 , 是 否 能 够 缓存 在 本 地 然后 
写 人 数据 库 并 最 终 展 示 出 来 。 

2. 流程 图 相关 操作 说 明 

(1) NTA/UBA 安装 规范 性 检查 

对 照 ( 智 能 管理 中 心 CGiMC) 部 署 和 硬件 配置 方案 》 对 现场 NTA/UBA 服务 器 的 安装 规范 
进行 检查 ,排查 现场 的 服务 器 硬件 条 件 是 否 符合 NTA/UBA 服务 器 的 安装 规范 要 求 。 重 点 检 
查 如 下 几 点 。 

O NTA/UBA 服务 器 是 否 专 机 专用 , 即 除 了 安装 MC 之 外 不 能 安装 其 他 类 似 的 网 络 管 
理 产 品 。 

@ 服务 器 的 硬件 配置 符合 NTA/UBA 的 安装 及 运行 要 求 , 重 点 关注 服务 器 的 磁盘 性 能 、 
空间 的 情况 。 

© 在 大 规模 应 用 场景 中 ,NTA/UBA 服务 器 是 否 进行 了 合理 的 分 布 式 部 署 。 

(2) OS/DB 运行 状态 检查 

NTA/UBA 作为 软件 产品 其 运行 依赖 于 底层 操作 系统 及 数据 库 的 正常 运行 ,这 部 分 重点 
排查 的 内 容 有 如 下 。 

D 操作 系统 ,数据库 是 否 为 正版 软件 。 

© 操作 系统 、 数 据 库 是 否 已 打上 所 需 的 补丁 (对 照 iMC PLAT/NTA/UBA 的 版 本 说 
明 书 )。 

@ 操作 系统 的 系统 时 间 配 置 是 否 正确 。 

(3) NTA/UBA 运行 状态 检查 

这 部 分 重点 排查 的 内 容 如 下 。 

O iMC 部 署 监控 代理 中 各 进程 运行 正常 ,无 异常 的 进程 。 

© iMC NTA/UBA 服务 器 的 CPU 内 存 利 用 率 正 常 。 

(4) NTA 流量 分 析 任务 配置 

NTA 的 流量 分 析 任 务 分 为 接口 `VLAN、 采 集 器 应用、 主机 `VPN、 业 务 间 7 种 ,请 注意 
NetStream 日 志 情 况 下 NTA 不 能 进行 采集 器 流量 分 析 。 

在 单 击 “* 配 置 管理 ”一 “流量 分 析 任 务 管理 ”命令 后 可 以 查看 到 这 些 流量 分 析 任务 并 可 以 单 
击 进行 详细 页 面 检查 对 应 的 配置 是 否 正 确 。 

(5) 用 户 行为 审计 管理 配置 

用 户 行为 审计 分 为 通用 审计 、 地 址 转换 审计 、Web 访问 审计 、 文 件 传输 审计 、 邮 件 审计 几 
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种 ,请 注意 NetStream 日 志 情 况 下 UBA 仅 能 进行 通用 审计 。 

用 户 行为 审计 可 以 在 “配置 管理 ”>“ 用 户 行为 审计 管理 ”中 进行 查看 并 检查 对 应 的 配置 是 
否 正确 。 

(6) NTA/UBA 服务 器 配置 


在 单 击 “ 业 务 ”>“ 配 置 管 理 ”>“ 服 务 器 管理 >“ 服务器 配置 ”命令 可 以 查看 对 应 的 服务 器 
配置 是 否 正 确 。 


在 服务 器 管理 中 可 以 单 击 “ 配 置 下 发 ”按钮 测试 服务 器 配置 能 否 正常 下 发 到 NTA/UBA 
接收 器 进程 上 ,正常 情况 下 会 显示 下 发 成 功 ,如 图 8-265 所 示 。 


E 北上 mam ESERE > RARE 


8-265 NTA/UBA 服务 器 配置 
(7) NTA/UBA 设备 配置 


可 以 在 单 击 iMC NTA/UBA“* 业 务 ”>“ 配 置 管理 ”一 “设备 管理 ”>“ 修 改 设备 ”命令 后 检 
查 设备 配置 ,请 注意 SNMP 团体 字 对 应 设备 上 配置 的 SNMP 读 团 体 字 ,如 图 8-266 所 示 。 


而 ”业务 >> 配置 管理 >> 设备 管理 >> 修改 设备 
基本 信息 
* 设备 IP [17216.1001 ] 
* 设备 名 称 [ywri-121-C0re | 
设备 描述 
SNMP 团 体 字 .... 
SNMP 端 口 161 
日 志 发 送 源 IP 
Netstream 流 统计 标识 有 效 x 
NetStream 新 特性 支持 
SFlowi 设 置 不 启用 s 
wA 


图 8-266 NTA/UBA 设备 配置 


(8) NTA/UBA NetStream 原始 日 志 数据 文件 检查 

NTA/UBA 会 将 收 到 的 NetStream 日 志 先 缓存 到 本 地 形成 文件 再 逐一 人 库 ,该 原始 日 志 
数据 文件 的 保存 路 径 为 NTA/UBA 部 署 所 在 服务 器 安装 目录 的 data/processorData/data H 
录 , 正 常情 况 下 该 目录 应 该 有 待人 数据 库 的 少量 原始 日 志文 件 。 如 果 没 有 说 明 情 况 异 常 ,多 为 
配置 类 问题 ; 如 果 有 大 量 的 日 志文 件 也 是 异常 的 ,说 明 原始 日 志文 件 入 数据 库 时 存在 积压 的 
情况 ,需要 排查 数据 库 性 能 、 磁 盘 空间 是 否 足 够 等 方面 的 因素 ,如 图 8-267 所 示 。 

(9) 设备 侧 NetStream 日 志 生 成 情况 检查 

检测 设备 侧 是 否 成 功 地 将 NetStream 日 志 发 送 给 iMC NTA/UBA 服务 器 ,重点 关注 发 


1078 根 叔 的 云图 一 一 网 络 故障 大 排查 


#m #= == ~ve 
@ + t[| + WB, » Resources (DJ » iMC » data » processorData » data v G| [2E data P 
Aem ze : sanm =m 大 小 
B Te [ NtaSerBetween1Min_1305270911282.. 2013/5/27 911 。 CSV 2# 1x8 
mam 
a mauwa 


8-267 NetStream 原始 日 志 数据 文件 检查 
送 的 目的 IP 地址、 端口 是 否 正确 ,是 否 有 日 志 报 文 发 送出 来 。 


MS: display ib netstream export 
如 下 中 的 172. 8. 99.176 应 该 为 NTA/UBA 服务 器 的 IP 地 址 ,对 应 的 监听 端口 为 9020， 
同时 已 经 成 功 的 发 送 了 3292 个 NetStream V5 版 本 的 日 志 报 文 。 


Router> display ip netstream export 
IP export information: 
Stream source interface 
Stream destination VPN-instance $ 
Stream destination IP (UDP) : 172.8.99.176 (9020) 
Version 5 exported stream number : 13385 
Version 5 exported UDP datagram number Caled: s (0) 
Version 9 exported stream number 
Version 9 exported UDP datagram number DE 7 (0) 


(10) 设备 与 NTA/UBA 服务 器 可 达 性 检查 

检查 设备 与 NTA/UBA 服务 器 是 否 可 达 , 对 应 的 端口 (如 以 上 程序 中 的 9020) 是 否 被 中 
间 的 防火 墙 过 滤 等 。 

(11) 设备 侧 NetStream 配置 检查 

如 果 在 前 面 的 display ip netstream export 环节 发 现 没 有 NetStream 日 志 报 文 发 出 , 则 需 
要 进一步 对 照 对 应 产品 的 配置 手册 排查 设备 版 本 是 否 正 确 、NetStream 相关 配置 是 否 正确 。 
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8.1.24 iMC UBA 管理 
08 iMC 管理 软件 NAT 及 FLOW 步骤 详解 
日 志 故 障 排查 


1. iMC UBA 管理 NAT/FLOW 日 志 问 题 排查 

iMC UBA 用 户 行为 审 记 组 件 可 以 和 设备 的 NAT/FLOW 日 志 配合 进行 用 户 行为 审 记 。 
iMC UBA 管理 NAT/FLOW 日 志 的 问题 排查 思路 主要 分 为 以 下 两 大 部 分 。 

O 设备 侧 是 否 将 对 应 终端 用 户 的 访问 流量 转换 生成 NAT/FLOW 日 志 并 将 日 志 发 送 给 
iMC UBA 服务 器 。 

© iMC UBA 服务 器 收 到 设备 侧 的 NAT/FLOW 日 志 , 缓 存在 本 地 然后 写 和 数据库 并 最 
终 展示 出 来 。 

本 问题 排查 思路 采用 从 结果 向 来 源 的 思路 编写 。 

2. 流程 图 相关 操作 说 明 

(1) UBA 安装 规范 性 检查 

对 照 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 对 现场 UBA 服务 器 的 安装 规范 进行 检 
查 , 排 查 现场 的 服务 器 硬件 条 件 是 否 符合 UBA 服务 器 的 安装 规范 要 求 。 重 点 检查 如 下 几 点 。 

O UBA 服务 器 是 否 专机 专用 , 即 除了 安装 iMC 之 外 不 安装 其 他 类 似 的 网 络 管理 类 产品 。 

@ 服务 器 的 硬件 配置 符合 UBA 的 安装 及 运行 要 求 , 此 项 请 重点 关注 服务 器 的 磁盘 性 能 
及 空间 的 情况 。 

© 在 大 规模 场景 中 ,UBA 服务 器 是 否 进行 了 合理 的 分 布 式 部 署 。 

(2) OS/DB 运行 状态 检查 

UBA 作为 一 个 软件 产品 其 运行 依赖 于 底层 操作 系统 及 数据 库 的 正常 运行 ,这 部 分 重点 排 
查 的 内 容 如 下 。 

D 操作 系统 .数据库 是 否 为 正版 软件 。 

@ 操作 系统 数据库 是 否 已 打上 所 需 的 补丁 (对 照 iMC PLAT.UBA 的 版 本 说 明 书 ) 。 

@ 操作 系统 的 系统 时 间 配 置 是 否 正确 。 

(3) UBA 运行 状态 检查 

这 部 分 重点 排查 的 内 容 如 下 。 

O iMC 部 署 监控 代理 中 各 进程 运行 正常 ,无 异常 的 进程 。 

© iMC UBA 服务 器 的 CPU ,内存 利用 率 正 常 。 

(4) 用 户 行为 审计 管理 配置 

用 户 行为 审计 分 为 通用 审计 、 地 址 转换 审计 、Web 访问 审计 、 文 件 传输 审计 、 邮 件 审计 几 
种 ,请 注意 NAT/FLOW 日 志 情 况 下 主要 用 于 地 址 转换 审计 。 

请 检查 “配置 管理 ”>“ 用 户 行 为 审计 管理 ”中 已 经 创建 了 对 应 的 地 址 转换 审计 任务 并 检查 
对 应 的 配置 是 否 正确 。 

(5) UBA 服务 器 配置 

在 单 击 “ 业 务 ”>“ 配 置 管理 ”>“ 服 务 器 管理 ”>“ 服 务 器 配置 ”命令 后 应 有 对 应 的 服务 器 配 
置 ,同时 查看 对 应 的 服务 器 配置 是 否 正确 。 

在 服务 器 管理 中 可 以 单 击 “ 配 置 下 发 ”按钮 测试 服务 器 配置 能 否 正常 下 发 到 UBA 接收 器 
进程 上 ,正常 情况 下 会 显示 下 发 成 功 ,如 图 8-268 所 示 。 


E> iMC 管理 软件 1081 


@ un >> REEN > paw > 服务 于 配置 


sret 


ame ea | 
z g 


8-268 UBA 服务 器 配置 


(6) UBA 设备 配置 

可 以 在 单 击 iMC UBA“* 业 务 ”>“ 配 置 管理 ”>“ 设 备 管理 ”一 “修改 设备 ”命令 后 应 有 对 应 
的 设备 配置 同时 检查 设备 配置 是 否 正 确 。 请 注意 SNMP 团体 字 指 设备 上 配置 的 SNMP 读 团 
体 字 , 如 图 8-269 所 示 。 


w b >> 配置 管理 >> 设备 管理 >> 修改 设备 


基本 信息 
* 设备 IP [1T72161001 
* 设备 名 称 [ywri-121-C0re 
设备 描述 
SNMP 团 体 字 .... 
SNMP 端 口 161 
日 志 发 送 源 IP 
NetStream 流 统计 标识 有 效 x 
NetStream 新 特性 支持 = 
sFlowi 轩 TER i z 


za 
图 8-269 UBA 设备 配置 


(7) UBA NAT/FLOW 原始 日 志 数据 文件 检查 

UBA 会 将 收 到 的 NAT/FLOW 日 志 先 缓存 到 本 地 形成 文件 再 逐一 入 库 ,该 原始 日 志 
据 文件 的 保存 路 径 为 UBA 部 署 所 在 服务 器 安装 目录 的 data/processorData/data 目录 ,正常 
情况 下 该 目录 应 该 有 待人 数据 库 的 少量 原始 日 志文 件 。 如 果 没 有 说 明 情 况 异 常 ,多 为 配置 类 
问题 ; 如 果 有 大 量 的 日 志文 件 也 是 异常 的 ,说 明 原 始 日 志文 件 入 数据 库 时 存在 积压 的 情况 , 需 
要 排查 数据 库 性 能 、 磁 盘 空 间 是 否 足 够 等 方面 的 因素 。 

(8) 设备 侧 NAT/FLOW 日 志 生成 情况 检查 

检测 设备 侧 是 否 成 功 地 将 NA T/FLOW 日 志 发 送 给 iMC UBA 服务 器 ,重点 排查 发 送 的 
目的 IP 地 址 .端口 是 否 正 确 ,是 否 有 日 志 报 文 发 送出 来 。 

不 同 设 备 的 命令 行 可 能 不 太一 样 , 但 原理 是 相同 的 ,下 面 以 SR88 设备 发 送 FLOW 日 志 
为 例 进 行 举例 说 明 。 

命令 : display userlog export slot slot-number [ | { begin | exclude | include } regular- 

expression ] 

如 下 面 程序 中 的 1. 2. 3.6 应 该 为 UBA 服务 器 的 IP 地 址 ,对 应 的 监听 端口 为 9020, 同 时 

已 经 成 功 的 发 送 了 91 个 FLOW 日 志 报 文 。 
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<SR88> display userlog export slot 2 
nat: 
No userlog export is enabled 
flow: 
Export Version 3 logs to log server : enabled 
Source address of exported logs 2 2.2 2 
Address of log server : 1.2.3.6 (port: 9020) 
total Logs/ UDP packets exported : 128/91 
Logs in buffer + 10 


(9) 设备 与 UBA 服务 器 可 达 性 检查 

检查 设备 与 UBA 服务 器 是 否 可 达 , 对 应 的 NAT/FLOW 日 志 发 送 的 端口 是 否 被 中 间 的 
防火 墙 过 滤 等 。 

(10) 设备 侧 NA T/FLOW 配置 检查 

如 果 在 前 面 的 设备 侧 日 志 生 成 情况 环节 发 现 没 有 NAT/FLOW 日 志 报 文 发 出 , 则 需要 进 
一 步 对 照 对 应 产品 的 配置 手册 排查 设备 版 本 是 否 正确 ,NAT/VFLOW 相关 配置 是 否 正确 。 


x 
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Waman m nra 8.1.25 802. 1x 认证 T 
08 iMC 管理 软件 8.1 业务 软件 : iMC 故障 排查 步骤 详解 


1. 开始 

802. 1x 协议 是 基于 端口 的 网 络 控制 协议 ,在 认证 客户 端 和 认证 设备 之 间 采 用 受 保护 的 局 
域 网 认证 协议 (EAPol) ,现在 已 成 为 局 域 网 接 人 的 基本 认证 方式 。 

对 于 802. 1x 认证 问题 ,定位 故障 的 思路 及 顺序 是 : U AM 侧 服务 器 软 硬 件 状 态 及 路 由 可 
达 性 检查 、802. 1x 认证 基本 配置 检查 、 确 认 是 否 证 书 认 证 .证书 相关 配置 检查 。 

本 文 举例 组 网 如 图 8-270 所 示 。 


° <ç ô 


认证 终端 PC 认证 设备 H3C iMC 服 务 器 
( 含 UAM) 


图 8-270 组 网 举例 


IP 规划 如 下 。 

认证 终端 PC: 172. 16. 16. 2/24, 网 关 172. 16. 16. 1。 

认证 设备 : VLAN 16:172. 16. 16. 1/24,VLAN 100; 172. 16. 100. 1/24。 

iMC 服务 器 : 172. 16. 100. 122/24, RÆ 172. 16. 100. 1 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

服务 器 性 能 是 保证 iMC 认证 系统 稳定 运行 的 基本 要 素 , 所 以 排查 问题 是 首先 需要 确认 服 
务 器 软 硬 件 配置 情况 。 

请 对 照 4 智 能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 ) 查 询 这 套 iMC 服务 器 的 业务 量 是 否 
符合 配置 要 求 。 该 配置 方案 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要求 。 

D 对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、 同 时 在 线 人 数 多 , 则 需要 根据 (智能 管理 中 心 iMC) 部 署 和 硬件 配 
置 方案 ?要求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 。 

重点 需要 检查 内 存 占用 是 否 过 高 ,内 存 大 小 是 否 满 足 (智能 管理 中 心 CGiMC) 部 署 和 硬件 配 
置 方案 》 计 算出 的 要 求 ,操作 系统 是 否 是 高 性 能 的 x64 版 本 。 

@ 打开 部 署 监控 代理 ,在 部 署 监控 代理 中 查看 部 署 页 面 ,“ 用 户 接 入 管理 ”组 件 是 否 是 已 
部 署 的 状态 。 

需要 关注 的 组 件 为 “用 户 接 入 管理 ”, 其 状态 应 为 “已 部 署 ”, 如 图 8-271 所 示 。 


条 智能 部 署 监 控 代 理 Mie E 
监控 | 进程 部 署 | 运 行 环境 | 
组 件 名 FE 版 本 状态 | asa 


E] 并 认定 首付 - 虚拟 网 络 管理 对 虚拟 网 络 进行 管理 。 ic PLAT 5.2 Œ04... 已 部 署 — 主 服务 器 E 


5.2 Œ040... CAF ERAS 
Ea man wa 


图 8-271 “用 户 接 入 管理 ”状态 


S 用 户 接 入 管理 - HORSE 提供 BY0D 的 功能 。 


L?" F 
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(2) iMC 服务 器 运行 情况 检查 
查看 “iMC 智能 部 署 监控 代理 ”中 进程 选项 卡 中 是 否 有 未 启动 的 进程 ,各 进程 是 否 正 常 为 


D 在 部 署 监控 代理 中 ,查看 uam. exe .uamjob 进程 是 否 正常 启动 ,如 图 8-272 所 示 。 


EEEEEEEREES [-Ipi> 
监控 进程 | 部署 | 运行 环境 | 


š | es | a [ce [ngo | ema | 类 型 | g#bms l. 
O incrlanperfdn. exe 已 经 启动 。 本 机 0  28,6442013-0T-18 09:34:35 可 管理 进程 ”自动 
O ingere 已 经 启动 ” 本 机 0 232 2013-07-16 09:34:21 核心 进程 。 自动 
Q processor exe 已 好 生动 本 机 0 3-07-16 09:34:40_ 可 管理 进程 ”自动 
[O receiver. exe 已 经 启动 SN 0 3-07-16 09:34:39 可 管理 进程 ”自动 
L Fr 本 机 0 -18 09.34.37 可 管理 进程 ”自动 
(Q tftpserver exe 本 机 0 3-07-16 09:34:11 本 管理 进程 “ 自 寺 
本 机 0 5, 416 2013-07-16 09:34:37 可 管理 进程 

已 本 机 0 1T75,304 2013-07-18 09:33:48 可 管理 进程 自动 
O datsaayrer DZB) SN O  115,3202013-07-18 09:33:48 本 管理 进程 自动 
O elat 已 经 启动 SN 0 ”199, 160 2013-07-16 09:33:48 可 管理 进程 ”自动 
© unbaserver 已 经 启动 本 机 T-16 09:33:48 可 管理 进程 ”自动 
Q jserver 已 经 自动。 本 机 013-07-16 11:33:27 可 管理 进程 ”手动 


3-07-16 12:08:38 本 管理 进程 自动 

6 09:33:46 可 管理 进程 自动 
013-07-16 09:33:48 本 管理 进程 自动” 
013-07-18 09:33:48 可 管理 进程 ”自动 
3-07-18 09:33:48 可 管理 进程 ”自动 
2013-07-16 09:33:46 可 管理 进程 ”自动 
~- ET 0 — 177,304 2013-07-16 12:08:38 可 管理 进程 自动 
CET 已 经 启动 ” 本 机 O n, 6 09:33;46_ 可 管理 进程 ”自动 
O policyserver 已 经 启动 Sn 0 172,552 2013-07-16 09:33:48 可 管理 进程 自动 ”| 


图 8-272 各 进程 启动 情况 


O portalserver 已 经 启动 本 机 


说 明 : 

(a) 一 般 情 况 下 ,这些 进 程 通过 和 鼠标 右键 设置 启动 方式 为 “自动 启动 
(b) uamjob 功能 主要 是 执行 定时 任务 ,uam 进程 主要 负责 认证 、 计 费 。 

@ 检查 服务 器 1812、1813 UDP 端口 是 否 被 uam 相关 进程 所 监听 ,如 图 8-273 所 示 。 


Microsoft Windows [hR 本 6 Bal 
2009 Microsoft Corporation 


n 1 findstr 


Administrator. at -aon ! findstr 1813 
72.16.80. 


— 任务 管理 下 
文件 F) 选项 0) 查看 W) 帮助 00 


应 用 程序 进程 | 服务 ”| 性 能 | 联网 | 用 户 | 


EREN [rm = 
cnd. exe #32 9672 


imcvnmdn.axe #32 11700 


图 8-273 各 端口 被 uam 进程 监听 情况 


说 明 : 
(a) Windows 操作 系统 中 ， 


netstat -aon | findstr :端口 号 


命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID。 
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(b) 1812.1813 所 对 应 的 进程 PID 应 为 uam 相关 的 进程 。 

(c) 1812、1813 对 应 的 IP 应 为 UAM 服务 器 实际 IP 地 址 。 

(3) iMC 服务 器 和 接 人 设备 可 达 性 检查 

单 击 “ 业 务 ”>“ 用 户 接 入 管理 ”>“ 接 入 设备 管理 ”>“ 接 入 设备 配置 “命令 后 需 添 加 接 入 设 
备 发 给 MC 服务 器 Radius 协议 报 文 的 端口 IP,iMC 默认 会 同 该 全 进行 Radius 协议 报 文 交互 ， 
需 保证 iMC 可 以 ping 通 该 下 ,本 例 中 接 入 设备 IP 应 为 172. 16. 100. 1, 如 图 8-274 所 示 。 


Pun > 用 户 和 入 管理 > 入 入 设 和 管理 > MARERE Win Ox 
BARREN SRR 
设备 IP 地 址 从 至 
设备 名 称 masra = Dsm J s= 
接 入 设备 列表 
增加 L r Temas = || 同步 满口 本 天 与 平台 设备 同步 1 WAAAT Sta Gf FE 
共有 5 条 记录 ， 当 前 第 1- 5, 第 At. SAAT: 8 15 [50] 100 
器 z annans aana an] 
la TÈ 未 同步 . " 
m 7260222 未 下 发 ARS L] 
回 1721621 来 下 发 ZARS . 


8-274 iMC 服务 器 与 接 和 人 设备 可 达 性 检查 


说 明 : 接 入 设备 会 有 多 个 IP 地 址 ,如 果 要 更 改 接 入 设备 IP, 需 在 Radius Scheme 视图 下 


配置 如 下 命令 。 
[sw-radius-h3c] nas-ip 172. 16. 2. 1 ,并 在 iMC 上 更 改 为 172. 16. 2. 1 。 


(4) 设备 侧 802. 1x 配置 检查 


[sw] dotlx 
[sw] dotlx authentication-method eap/chap/ pap 
[sw-GigabitEthernet1/0/12] dotlx 


说 明 : H3C 设备 默认 的 认证 方式 为 CHAP, 如 果 是 LDAP 账号 认证 , 则 必须 将 认证 方式 
KA PAP 或 EAP, 如 果 是 证 书 认 证 , 则 必须 将 认证 方式 改 为 EAP, 
(5) 设备 侧 Radius 配置 检查 


[BAS-radius-h3c] display this 

# Radius 方案 配置 

radius schemeh3c 

server-type extended 

primary authentication 172.16.100.122 
primary accounting 172.16.100.122 
key authenticationh3c 

key accountingh3c 

nas-ip 172.16.100.1 


[BAS-isp-dot1x]display this 

# 域 配置 

domaindotlx 
authenticationlan-access radius-scheme h3c 
authorizationlan-access radius-scheme h3c 
accountinglan-access radius-scheme h3c 


(6) UAM 接 入 设备 配置 检查 
D 共享 密 钥 须 和 接 入 设备 配置 保持 一 致 。 
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© 接 人 设备 类 型 : 根据 实际 情况 选择 。 
@ 组 网 方式 : 如 果实 际 接 入 设备 支持 计 费 报 文 , 则 选择 不 启用 混合 组 网 ,如 果 接 入 设备 
不 支持 计 费 报 文 , 则 选择 不 启用 混合 组 网 。 


© 设备 他: 默认 是 发 给 iMC 服务 器 Radius 报 文 的 接口 IP 地 址 ,本 例 中 应 为 172. 16. 100. 1， 
如 图 8-275 所 示 。 


Pus > 用户 注入 管 理 >> 撞 入 设备 管理 >> RARERE > BARAT 


RARE 
* 认证 端口 1812 -HRO 1813 
* 共享 密 铀 * 确认 共享 宣 钥 þes 
BARS 无 站 务 类 型 LAN 接 入 北 务 ` 
接 入 设备 类 型 H3C(General) ` 组 网 方式 不 启用 漫 合 组 网 ` 
REAR 
共有 1 条 记录 。 
rum CE Cr 
17216.1001 w 
wA 


8-275 UAM 接 人 设备 配置 检查 


说 明 : 如 果 填 写 接 入 设备 其 他 端口 IP 作为 接 入 设备 IP, 须 在 Radius Scheme 视图 下 配置 
nas-ip: 192. 168. 2. 1 。 
(7) UAM 账号 信息 检查 


确认 账号 状态 、 绑 定 信息 、 引 用 的 服务 ,并 根据 配置 对 引用 的 服务 进行 检查 ,如 图 8-276 
所 示 。 


GEA o 所 有 接 入 用 户 > 未 分 组 > 接 入 用 户 信息 
区 

基本 信息 

用 户 姓名 test 

通讯 地 址 

电子 邮件 

接 入 信息 

账号 名 test 

人 允许 用 户 修改 密码 是 用 用 户 富 但 近 制 于 格 
开户 日 期 2013-07-22 下 次 登录 须 修改 密码 =s 
最 后 下 线 时 间 2013-07-25 14:02 失效 日 期 

最 大 闲置 时 长 在 线 数 里 限制 1 
在 线 状 态 不 在 线 Portal 智 能 终端 最 大 绪 定 数 1 
登录 提示 信息 
计 费 信息 

账号 类 型 预付 费 ELES] 0.007 
自助 充值 允许 
接 入 服务 
TERRE THE 


图 8-276 UAM 账号 信息 检查 
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说 明 : 该 步骤 主要 是 确认 账号 引用 的 服务 ,对 服务 进行 检查 时 即 直接 检查 该 服务 。 

(8) 检查 UAM 服务 配置 

检查 UAM 接 入 服务 中 的 服务 后 级 是 否 和 接 入 设备 的 Domain, Radius Scheme 配置 保持 
一 致 ; 检查 是 否 引用 了 正确 的 接 入 规则 ,如 图 8-277 所 示 。 关 于 iNode 客户 端 后 级 是 否 添 加 、 
认证 设备 Domain 配置 iMC 上 的 服务 后 级 配置 对 应 关系 可 参考 如 表 8-2 所 示 。 


ÈL is > MARATE > BSRERY >> RIREFMRA 
服务 可知 详细 信息 
基本 信息 
服务 名 dottx 
北 务 分 组 未 分 组 
Rare TERRENG 
RARAREFERE 不 使 用 
ERKE 
EETA] THE 
回 可 申请 Portaan NE 
RANEE 
接 入 场景 Jana EE | 肉 网 外 联 配备 RARATAN EZIN 
图 8-277 检查 UAM 服务 配置 
表 8-2 iMC 上 的 服务 后 缀 配置 对 应 关系 
iNode 认证 设备 用 于 认证 的 
连接 用 户 名 PS00688 设备 配置 相关 命令 iMC 中 服务 后 组 
x@Y With-domain Y 
Without-domain 无 后 级 
With-domain Default Domain 
x Default Domain 
Without-domain 无 后 级 
WAA: 


@ 对 于 设备 Radius 方案 中 指定 “user-name-format without-domain” 的 情况 : 在 iMC 4} 
入 服务 中 不 配置 服务 后 缓 ; 如 对 应 的 域 配置 为 设备 的 默认 域 , 则 客户 端 PC 认证 时 可 以 不 带 后 
绥 名 ,否则 需要 带 后 组 名 。 

© 对 于 Radius 方案 中 指定 的 是 “user-name-format with-domain” 的 情况 : iMC 接 入 服务 
中 必须 要 配置 服务 后 缓 , 在 使 用 设备 默认 域 做 认证 时 ,客户 端的 用 户 名 可 以 不 带 后 组 ,如 不 是 
默认 域 则 需要 用 户 名 带 后 组 认证 。 

(9) 确认 是 否 证 书 认证 

直接 在 单 击 “ 业 务 ”->“ 用 户 接 入 管理 ”>“ 接 入 规则 管理 ”一 “修改 接 入 规则 ”命令 后 ,可 在 
里 面 查看 是 否 启 用 证 书 认证 及 证 书 认证 类 型 ,如 果 不 属于 证 书 认证 , 则 直接 检查 Node 客户 端 
802. 1x 连接 配置 ,如 图 8-278 所 示 。 


说 明 : 


O 如 果 是 证 书 认证 , 则 报 文 加 密 方式 必须 为 EAP 形式 ,具体 的 配置 方式 如 下 。 
LH3C]dotlx authentication eap 


@ 证 书 认证 安全 性 高 ,配置 复杂 ,支持 冷 备 ,不 支持 Radius 逃生 。 


(10) 是 否 AD H + PEAP+- MSCHAPV2 证 书 认证 
确认 认证 用 户 是 否 属于 AD 认证 用 户 .是否 采用 PEAP MSCHAPV2 证 书 认证 ,确认 方式 


如 图 8-279 所 示 。 


E> iMC 管理 软件 1089 


glis >> 用 户 接 入 管理 > 接 入 规则 管理 >> 修改 接 入 规则 


imag 
BD ”启用 RSA 认 证 


F 下 发 UserProfile 
E FRAL 


图 8-278 ”确认 证 书 认证 情况 


ç! 业务 >> 用 户 接 入 管理 >> 接 入 规则 管理 >> 修改 接 入 规则 


* 分 MIP 地 址 
下 行 速率 Kbps imes Kbps 
RARR E BARSANI 


证 书 认证 © 不 自用 @ EAP 证 书 认证 © WAP 钙 书 认证 
认证 古书 类 型 EAP-PEAP 认 证 = 认证 证 书 子 类 型 MS-CHAPV2 认 证 ` 


图 8-279 ”确认 认证 用 户 为 AD 认证 用 户 情况 


说 明 : AD 用 户 : 仅 指 从 微软 LDAP 服务 器 同步 过 来 的 用 户 ,open LDAP 用 户 无 须 配 置 
PEAP 预 控 服 务 器 ; iMC 仅 同步 用 户 账户 ,并 不 同步 用 户 密码 。 

如 果 不 属于 此 种 情况 , 则 直接 检查 UAM/iNode 客户 端 证 书 配置 。 

(11) 域 控 服务 器 侧 虚 拟 计算 机 配置 检查 

D 虚拟 计算 机 名 称 和 路 径 检查 。 

虚拟 计算 机 必须 在 Computers 下 新 建 ,首先 保证 虚拟 计算 机 路 径 正确 ,路 径 格 式 一 般 为 
CN 二 Computername, CN = Computers, DC = XXX, DC 二 XXX, 本 例 中 路 径 的 正确 写法 为 : 
CN=h3c,CN=Computers,DC=CONTOSO,DC=COM; 然后 需 保证 该 名 称 和 “UAM 侧 域 
控 服 务 器 配置 检查 ”配置 的 虚拟 计算 机 名 称 保持 一 致 ,如 图 8-280 所 示 。 

© 虚拟 计算 机 密码 检查 。 

虚拟 计算 机 密码 检查 分 为 以 下 3 个 步骤 。 

第 1 步 ,从 UAM 服务 器 下 载 密码 修改 脚本 ,如 图 8-281 所 示 。 

第 2 步 ,确认 密码 修改 脚本 的 内 容 , 该 密码 需 和 “UAM 侧 域 控 服 务 器 配置 "设置 的 虚拟 计 
算 机 密码 保持 一 致 ,如 图 8-282 所 示 。 

第 3 步 ,在 域 控 服 务 器 侧 CMD 下 使 虚拟 计算 机 密码 生效 。 

确认 密码 和 名 称 无 误 后 ,在 域 控 服 务 器 CMD 命令 行 下 执行 该 脚本 ,执行 后 不 能 有 出 错 提 
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国 ForeigSecuri ty: 
田 国 Managed Service 
田 国 test 


8-280 ”虚拟 计算 机 名 称 和 路 径 检查 


Bus >> WAY >> PASAR >> 系统 配置 >> PEPUERE 


* 虚拟 计算 机 密码 oo ° ` WutiaaA sa ee 9 
DNS 服务 器 PP 1721609 ° * ERHI 1721609 9 
9812 


NTOSO, DC=CON”) 


虚拟 计算 机 密码 


8-282 与 虚拟 计算 机 密码 保持 一 致 


IR ,如果 不能 保证 之 前 是 否 正确 执行 ,可 再 次 执行 该 脚本 ,如 图 8-283 所 示 。 

(12) UAM 侧 域 控 服 务 器 配置 检查 

域 控 服 务 器 全 名 是 指 AD 服务 器 的 计算 机 名 称 , 虚 拟 计算 机 名 称 和 密码 需 和 “ 域 控 服务 器 
即 配 置 ” 侧 的 配置 保持 一 致 ,如 图 8-284 所 示 。 
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AWINDOWSAsystes32Vcsd exe 画 回 区 


2010-81-27 
20809-10-2; 


图 8-283 在 CMD 命令 下 执行 脚本 


Pun >> menne >> hama >> Sien >> PEPUERE 
Papap _ 二 
` WRRRESS AOCIRD2RV hac com a 
-HNE =: e 
“Me e u aa 9 
* DNS 服务 器 IP 1721609 e - spna P a 
BERA àt x ”本 地 服务 器 器 品 9812 9 
MISS st INTERNET 52 T: SEE - 
marihuana " 
mA 


说 明 : 


© DNS 服务 器 IP; 必须 填 ? 
© 域 控 服 务 器 IP: 


图 8-284 UAM 侧 域 控 服务 器 配置 检查 


实际 IP 地 址 ,不 能 填写 127. 0. 0. 1 。 
必须 填写 实际 IP 地 址 ,不 能 填写 127.0.0.1. 


虚拟 计算 机 全 名 的 
(13) 检查 UAM/i 


查看 方法 如 图 8-285 所 示 。 


Node SEP ONE: aus 


O UAM 侧 证 书 相 关 配 置 。 计算 机 名 | 硬件 | 高 级 | 远程 | 
证 书 配置 路 径 为 :“ 业 务 " 一 “用 户 接 人 管 O, B inaovs 使 用 以 下 信息 在 网 络 中 标识 这 台 计 算 机 * 


理 ”~“ 业 务 参数 配置 ” 


«证书 配 置 ”。 
书 配置 | 


确认 根 证 书 和 服务 器 证 书 是 同一 CA 颁 PIRN: “IIS Production Server” 或 


发 ,确认 证 书 仍 在 有 效 期 内 , 根 证 书 一 般 为 . cer 


格式 ,服务 器 证 书 为 . p 


认 不 要 混淆 ,如 图 8-286 所 示 。 


fx 格式 ,导入 证 书 时 确 =Ë Ais 
图 8-285 ”虚拟 计算 机 全 名 查看 


© iNode 客户 端 证 书 配置 ,分 两 种 情况 。 


(a) EAP-TLS 证 3 


BUHE. 


EAP-TLS 证 书 认证 时 ,客户 端 必须 安装 客户 端 证 书 , 默 认 客 户 端 证 书 名 称 必 须 和 接 人 账 


户 名 保持 一 致 ,否则 会 


提示 证 书 无 效 。 


如 果 客户 端 没有 根 证 书 则 不 能 勾 选 “ 验 证 服务 器 证 书 ”, 如 图 8-287 所 示 。 
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北 务 >> PR A WÉ > 北 务 参 教 配备 > EPRA 


图 8-286 UAM 侧 证 书 相 关 配 置 
(b) PEAP 证 书 认证 。 


采用 PEAP 证 书 认证 时 ,客户 端 可 以 没有 任何 证 书 ; 客户 端 没有 根 证 书 时 , 则 不 能 选择 
“验证 服务 器 证 书 ” 单 选 框 ,如 图 8-288 所 示 。 


AP [Gi [g I| 
用 户 名 上 引证 # 认 证 可 公设 村 TA 


ZAD: WEE 
©EAPMNSMN 
io OPERA @ PEaP(a) E 
安全 用 户 名 (U): dot1x@dot1x 安全 用 户 名 (U): dotlxGdotlx 
aw: = e=: sss 
© mei Ë YE 
ai 口 从 证 书 读 取 用 户 名 (6) 从 证 书 该 取 用 户 名 (G) 
SEBA epen pa] 


选择 客户 淡 证 书 (5)，。 


图 8-287 EAP-TLS 证 书 认证 8-288 PEAP 证 书 认证 


说 阴 : 

@ EAP-TLS: 双向 证 书 认 证 ,客户 端 必须 有 客户 端 证 书 , 如 果 不 验证 服务 器 证 书 ,客户 端 
可 以 没有 根 证 书 。 

@ PEAP: 单 向 证 书 认证 ,客户 端 可 以 没有 认证 证 书 。 

(14) iNode 客户 端 802. 1x 连接 检查 

iNode 客户 端 账 号 及 后 级 配置 请 参考 表 8-3 的 内 容 。 


表 8-3 iNode 客户 端 账号 及 后 缀 配置 


iNode 认证 连接 用 户 名 | 。 设备 用 于 认证 PE mapasa 
的 Domain 
X@Y Y With-domain ra 
Without-domain FRA 
x Default Domain With-domain Default Domain 
Without-domain 无 后 缀 


证 故障 排查 


浏览 器 弹 几 
Portal f 61 


pertal 设 备 
EA AME 9 Ë 


pertal 设 备 pertal 


协议 配置 检查 


Portal 
身份 裤 证 上 线 


浏览 器 重 吕 向 
I 


拨打 热线 
400-910-0502 2 > +Ë S 


1094 根 起 的 云图 一 一 网 络 故障 大 排查 


a DERI. 8.1.26 UAM Portal 认 F. 
08 iMC 管理 软件 8.1 业务 软件 : iMC 证 故障 排查 步骤 详解 


1. 开始 

Portal 协议 简介 : Portal 协议 框架 基于 UDP 实现 ,其 中 使 用 了 Radius 协议 做 用 户 身 份 认 
证 ,可 以 通过 客户 端 或 浏览 器 发 起 认证 。 

UAM Portal 认证 排 错 定 位 思路 : 首先 检查 服务 器 软 硬 件 及 性 能 是 否 满足 当前 认证 需要 ， 
然后 需要 从 客户 端 或 网 页 上 线 的 现象 来 分 析 , 相 应 做 iMC 服务 器 的 检查 .Portal 相关 配置 的 
检查 和 Radius 相关 配置 的 检查 。 

本 文中 举例 组 网 如 图 8-289 所 示 。 


° © ô 


认证 终端 PC 认证 设备 H3C iMC 服 务 器 
( 含 UAM 和 Portal) 


8-289 组 网 举例 


IP 规划 如 下 。 

认证 终端 PC: 172. 16. 16.2/24, 网 关 172. 16. 16. 1。 

认证 设备 H3C: VLAN 16:172. 16. 16. 1/24,VLAN 100: 172. 16. 100. 1/24。 

iMC 服务 器 : 172. 16. 100. 122/24 ,网 关 172. 16. 100. 1 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

服务 器 性 能 是 保证 iMC 认证 系统 稳定 运行 的 基本 要 素 , 所 以 排查 问题 是 首先 需要 确认 服 
务 器 软 硬 件 配置 情况 是 否 符合 要 求 。 

请 对 照 《 智 能 管理 中 心 iMC) 部 署 和 硬件 配置 方案 ) 查 询 这 套 iMC 服务 器 对 应 业务 量 的 
配置 需求 。 该 配置 方案 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 。 

O 对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、Portal 网 页 在 线 数量 多 , 需 考虑 是 否 根 据 ( 智 能 管理 中 心 (iMC) 部 
署 和 硬件 配置 方案 》 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 o 

重点 需要 检查 内 存 占用 是 否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 CGiMC) 部 署 和 硬件 配 
置 方案 》 计 算出 的 要 求 ,操作 系统 是 否 是 高 性 能 的 x64 版 本 。 

@ 打开 部 署 监 控 代理 ,在 部 署 监 控 代 理 中 查看 部 署 页 面 ,“ 用 户 接 入 管理 "各 组 件 是 否 是 
已 部 署 的 状态 。 

需要 关注 的 组 件 有 “用 户 接 入 管理 ”和 “Portal 服务 器 ”, 其 状态 都 应 为 “已 部 署 ", 如 图 8-290 
所 示 。 

(2) iMC 服务 器 运行 情况 检查 

查看 "iMC 智能 部 署 监控 代理 ”中 进程 选项 卡 中 是 否 有 未 启动 的 进程 ,各 进程 是 否 正常 为 
“已 经 启动 ”。 

D 打开 部 署 监控 代理 ,查看 uam. exe, portalserver、 webServiceNodel , webServiceNode2, 
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uamjob 进程 是 否 正常 启动 。 另 外 ,如 果 是 网 页 Portal 认证 还 需要 确认 Portal 服务 器 上 的 
jserver/webserver 进程 是 否 正 常 启动 ,如 图 8-291 所 示 。 


TLETUZTEIKITIN[II TTTYVIICIYTTTTIT'ITII (E0402P05) 
APEAG® ~ BORAS 提供 5Y0D 的 功 兹 - (E0402P05) 
I APENTA - RRAS RRRLUENDN. (E0402P05) 
I APENES - RUREBAE WRHRPUERINREHA. (E0402P05) 
f APENE- 用 户 自助 服务 。 提供 用 户 资料 的 自助 查询 和 和 准 坊 的 功能 - (E0402F05) 
和 APEAES - AP EATR.. ITTTUTIYITITITITIT (E0402) 
CEI TLL (E0402P05) 
S EAD 家 全 筑 几 生理 - ATEA TR 要 供 对 各 而 次 产业 务 的 配置 和 用 户 的 认 - - (E0402P05) 
YPYu=TIT - ADFA. Lis L List rti HN. (E0402P05) 
O MPEASS - Portal 服 务 器 。 提供 Portal 认 证 功能 (E0402) 
J azurra 提 贷 设备 用 户 TACACS+ 认 证 和 人 外 权重 理 ,.， (E0401) 
TLYUYKITI MEARP RI IRS m. MC CANS 5.2 (E0402) 
J irse vrk gE 提供 对 IPsec 太 埋 、IPsec 业 务 的 每 理 。 inc IVK 5.2 (E0401) 
Jf mus YPN 宣 埋 -WELS VPS PSPL VPN 直行 和 更 inc mN 5.2 (E0401) 
EJ PLS VINE - WLS FA 于 WPLS 网 络 进行 每 理 - MC MVA 5.2 (E0401) 
YYTTITIKTKIUTLWUUTKEITTUL TS iNC WYN 5.2 (E0401) 
J ts NER - Ls TEGE 。 基于 WPLS 赴 术 的 流 重 mn 5.2 (E0401) 
Jf mus vga - LE ALE m. p WA S ° (E0401) 
CESTI Anra s kim. iD EoCN 5.2 (E0401) 


WARG, BTERGRNSMFRE. 


O ine. eze 6, 828 2013-06-20 
© processor. eze 69,960 2015-06-20 
O receiver. eze 97, 332 2013-06-20 
O tan eze 13, 492 2013-06-20 
© ee 13, 516 2019-06-20 
4,640 2013-06-20 
© speserver 205, 508 2013-06-20 
E bimsserver 0 
OO danserver 305, 400 2013-06-20 
© datsanalrzer 80, 376 2013-06-20 
© ewnt 396, 228 2013-06-20 
© unbaserver 171, 188 2013-06-20 
3, 255, 428 2013-06-20 
316, 460 2013-06-20 
O webservicekodel 已 经 自动 310, 036 2013-06-20 
O webserviceNodeg 已 丝 自动 309, 836 2013-06-20 
r, 333, 892 2013-06-20 
[Ow — emas ] ER 
(J mschapv2server BHAS 313, 756 2013-06-20 
© wsrozz BRAS 305, 104 2013-06-20 
O policrserver 已 绽 自动 309, 152 2013-06-20 


图 8-291 各 进程 启动 情况 
说 明 : 
(a) 一 般 情 况 下 ,这 些 进程 通过 和 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 
(b) jserver Æ Portal 组 件 集中 式 部 署 时 所 需 关 注 的 进程 ; webserver 为 Portal 组 件 分 布 
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式 部 署 时 ,在 从 机 上 需要 确认 的 进 逢 
@ 检查 服务 器 1812、1813、50100、50200 UDP 端口 是 否 被 uam 相关 进程 所 监听 ,如 图 8-292 
所 示 。 


命令 提示 符 [slE 


20308 


20308 


E Ttindors 任务 管理 器 
XFO ARO SEV HHW 


应 用 程序 进程 | 性 能 | 联网 | 用 户 | 


| uanauthsry. exe #32 — —> ms — 16572 0 


STEN 


notepad exe 00 Administrator n 
java. exe 18756 00 SYSTEM 309, 
eocm exe #32 19400 00 K SYSTEM 16, 
j Administrator 22, 
java. exe SYSTEM 318, 
Javar ere K SYSTEM 395, 
Eve erything exe *32 Administrator 10, 
imewipsdm.exe *32 00 19,004 K SYSTEM 14, 
uan. exe +32 00 4,640 K SYSTEM 1, 
00 13,516 K SYSTEM Ti 


tftpserver. exe *32 


图 8-292 各 端口 被 uam 相关 进程 监听 情况 


说 明 : 
(a) Windows 操作 系统 中 ,通过 
netstat-aon | findstr :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID， 
举例 : 对 于 命令 提示 符 回 显 ,如 图 8-293 所 示 。 


图 8-293 命令 提示 符 回 显 


其 中 第 一 列 UDP 所 指 监 听 的 协议 ,第 二 列 10.153. 43. 100:1812 所 指 监听 的 服务 器 的 IP 


和 端口 号 ,第 三 列 * :x* 代表 此 行 信 息 为 监听 状态 ,最 右 一 列 8780 代表 此 协议 监听 的 进 


程 PID。 

(b) 查 到 端口 所 对 应 的 进程 PID 后 ,请 查看 Windows 任务 管理 器 ,1812/1813 端口 所 对 
应 的 应 为 uam 相关 的 进程 ,50100/50200 所 对 应 的 应 为 Java 进程 。 

(3) iMC 服务 器 和 Portal 设备 ,终端 可 达 性 检查 

Portal 认证 是 对 上 行 流量 的 认证 ,并 且 需 要 和 Portal 服务 器 通信 交互 Portal 报 文 。 对 于 
没有 禁 ping 的 环境 ,在 认证 上 线 之 前 终端 PC 是 可 以 和 Portal 所 在 服务 器 可 达 的 。 分 别 从 
iMC 服务 器 上 ping 接 入 设备 IP、Portal 设备 IP n IP, 

对 于 本 文 的 组 网 环境 ,需要 分 别 测试 172. 16. 16. 2 与 172. 16. 100. 2.172. 16. 16.1 与 
172. 16. 100. 122.172. 16. 100. 122 与 172. 16. 100. 1 之 间 的 双向 可 达 性 。 
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(4) 检查 浏览 器 配置 
关于 认证 使 用 的 浏览 器 ,请 使 用 IE 进行 测试 ,并 保证 单 击 “Internet 选项 ”>“Internet Ifi 
时 文件 ”>“ 检 查 存储 的 网 页 的 较 新 版 本 ”命令 后 选择 为 “自动 ”, 如 图 8-294 所 示 。 


Internet 选项 9 
za lze [mu [mg | Jer Jan 
主页 
使 若 要 创 尘 多 个 主页 选项 卡 ， 请 在 每 行 输入 一 个 地 址 R) 。 
about:blank a 
X Internet 临时 文件 à 
[使 用 当前 页 c) | FRA T) EAMATEN 和 存储 网 页 、 图 像 和 媒体 的 副本 以 便 以 后 
启动 REEE. 
P n 检查 存储 的 页 面 的 较 新 版 本 
° anan e 3 O AHIA 1) 
ARE Ag ternet Explorer Bj (S) 
更 改 网 页 在 选项 卡 中 的 显示 方式 。 AFO) | 
浏览 历史 记录 tr ti 
旺 除 临时 文件 HPR Cookie. REBATAS kai z0 
EREADER of 当前 位 置 
ha rE | Gry ett rem 
[eñë0_ J ig8a) J| zoo. [ñaaa J || garwa) o) ( gëxtto J 


[ E DÄ ] | ERW 


8-294 ”检查 浏览 器 配置 


说 明 : 若 此 处 选择 “从 不 ”, 浏 览 器 会 优先 从 本 地 缓存 中 查找 网 页 文件 的 副本 ,终端 PC 的 
浏览 器 不 向 Portal 服务 器 请 求 页 面 ,会 导致 Portal 心跳 失败 、 认 证 超时 掉 线 。 

(5) 浏览 器 Portal 页 面 跳 转 测试 

浏览 器 重 定向 的 原理 : 为 认证 上 线 的 终端 PC 在 向 外 发 起 Http Get 请 求 时 ,网 关 设 备 会 
以 配置 好 的 Portal URL 来 填充 地 址 字段 ,将 该 Get 请 求 重 定向 到 Portal 服务 器 上 , 转 而 进行 
Portal 认证 。 

打开 浏览 器 ,推荐 使 用 IE, 在 地 址 栏 输入 IP 地 址 作为 URL, 查 看 浏览 器 的 地 址 栏 中 的 
URL 是 否 会 自动 跳 转 成 Portal 服务 器 的 URL。 这 一 步 为 浏览 器 和 Portal 设备 间 的 配合 ， 
果 URL 未 重 定向 可 检查 设备 配置 。 

举例 : 可 输入 http://www. h3c. com. cn/ (没有 放 通 DNS 地 址 时 ,请 尝试 http://1.1.1.1/ 等 
地 址 ) 尝 试 访问 ,查看 地 址 栏 的 地 址 时 候 会 自动 跳 转 成 Portal 的 URL, 

若 浏览 器 未 发 生 跳 转 , 即 地 址 栏 中 的 URL 在 回 车 访问 后 未 发 生变 化 ,请 参考 对 应 Portal 
设备 的 手册 ,检查 Portal 设备 配置 中 Portal 服务 器 是 否 配置 、 接 口中 是 否 启用 了 Portal, 


[H3C] display current-configuration | include portal server imcportalserver 
portal server imcportalserver ip 172.16.100.122 key portalkey url http: //172.16.100.122:8080/portal 
portal server imcportalserver method direct 


说 明 : 
O imcportalserver 为 设备 本 地 有 效 的 Portal 服务 器 名 称 ,172. 16. 100. 122 为 Portal 服 
务 器 的 地 址 , portalkey 为 Portal 设备 和 Portal 服务 器 交互 时 所 用 的 共享 密 钥 ,http:// 
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172. 16. 100. 122 :8080/portal 为 Portal 网 页 的 重 定向 URL, 

© 对 于 命令 portal server imcportalserver method direct, 需 要 详细 检查 其 是 否 在 认证 接 
口上 启用 。 

接 下 来 查看 浏览 器 是 否 正确 显示 了 Portal 认证 页 面 ,如 有 报错 ,需要 检查 Portal 设备 和 
UAM 中 对 应 的 Portal 配置 。 图 8-295 所 示 为 正常 显示 的 默认 页 面 。 


版 权 所 有 © 2007-2013 杭州 毕 三 通信 技术 有 限 公司 ,保留 一 切 权利 
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(6) Portal 设备 Portal 协议 配置 检查 
检查 全 局 下 的 Portal 配置 ,建议 配置 portal free-rule 放 通 DNS 地 址 的 访问 。 
O 全 局 Portal 配置 举例 。 


[H3C] display current-configuration | include portal 

portal serverimcportalserver ip 172.16.100.122 key portalkey url http: //172.16.100.122:8080/portal 
portal free-rule 0 source any destination ip 8.8.8.8 mask 255.255.255.255 

portal serverimcportalserver server-detect method portal-heartbeat action permit-all interval 30 retry 2 


portal serverimcportalserver user-sync interval 400 retry 3 


说 明 : 

(a) portal free-rule 0 命令 的 目的 是 将 所 有 Portal 认证 区 域 中 目的 地 址 为 8. 8. 8. 8(DNS 
地 址 ) 的 流量 放 通 不 做 认证 ,该 配置 为 建议 配置 。 

(b) server-detect 的 命令 中 配合 使 用 iMC 的 服务 器 心跳 ,用 来 确保 服务 器 出 现 意 外 宕 机 
J Portal 设备 将 Portal 认证 放 开 ,保证 用 户 的 接 入 ,使 用 参数 portal-heartbeat 来 配合 i MC 
Portal 服务 器 使 用 ,permit-all 代表 Portal 服务 器 失效 时 网 关 对 于 认证 网 段 报 文 的 处 理 方式 是 
全 部 放行 ,检测 间隔 30 秒 ,失败 重 试 2 次。 

(c) user-sync 命令 配合 UAM Portal 设备 中 用 户 心 跳 来 使 用 ,服务 器 定期 发 送 所 有 
Portal 在 线 用 户 的 列表 给 设备 由 设备 将 异常 在 线 的 用 户 踢 下 线 。 可 以 设置 的 参数 有 间隔 时 间 
400 秒 和 重 试 次 数 3。 
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@ 端口 中 启用 portal 的 配置 举例 。 


[H3C-Vlan-interface16]display this 

portal server imcportalserver method direct 
portal nas-ip172.16.16.1 

portal auth-network172.16.32.0 24 


说 明 

(a) imcportalserver 为 设备 本 地 有 效 的 全 局 下 配置 的 Portal 服务 器 名 称 ,direct 参数 表明 
这 个 Portal 使 用 直 连 方式 ,此 外 还 有 lay3 的 三 层 Portal 方式 。 只 有 配置 了 这 条 命令 ,Portal 
才 在 端口 上 启用 ,为 必 备 配 置 。 

(b) 当 启 用 了 Portal 网 关 热 备 , 需 要 在 启用 Portal 的 三 层 接口 上 制定 发 送 Portal 报 文 的 
nas-ip, 对 应 的 iMC 中 Portal 设备 添加 使 用 此 IP 地 址 。 

(c) 当 端 口上 开启 的 端口 配置 为 三 层 Portal 的 方式 ,需要 配置 好 portal auth-network 命 
令 , 以 设 定做 Portal 认证 的 网 段 ,不 配置 时 默认 对 该 接口 下 的 所 有 网 段 进行 Portal 认证 ,如 例 
配置 代表 对 源 IP 为 172. 16. 32.0/24 网 络 的 终端 流量 做 Portal 认证 。 

(7) UAM Portal 设备 配置 检查 

在 单 击 “ 业 务 ”>“ 用 户 接 入 管理 ”>“Portal 服务 管理 ”>“ 设 备 配 置 ”>“ 修 改 设备 信息 ” 命 
令 后 ,查看 是 否 添加 Portal 设备 ,该 IP 地 址 的 配置 是 否 与 Portal 设备 上 启用 Portal 的 接口 下 
的 nas-ip 所 指定 的 地 址 相同 。 

配合 本 文 的 设备 举例 配置 ,Portal 设备 的 IP 地 址 应 为 172. 16. 16. 1, 如 图 8-296 所 示 。 


PR 业务 > MARATE >> Portal 服 务 管理 > 设备 配置 > 修改 设备 信息 G#M 
DELLES 
设备 信息 
` 设备 名 172.16.16.1 * 业务 分 组 未 分 组 ” č 
版 本 * IP 地址 172.16.16.1 
”监听 端口 * 本 地 Challenge = ` 
”认证 重 发 次 数 ”下 线 重 发 次 数 1 
* 支持 逃生 心跳 * 支持 用 户 心跳 ` 
-E uea] 
* 组 网 方式 
设备 描述 
确定 取消 
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说 明 : 监听 端口 默认 2000 无 须 更 改 ,只 是 逃生 心跳 和 用 户 心跳 要 配合 Portal 设备 上 的 配 
置 更 改 , 密 钥 要 和 Portal 设备 配置 一 致 ,组 网 方式 和 Portal 设备 的 配置 一 致 。 

(8) UAM Portal 端口 组 配置 检查 

需要 注意 的 是 Portal 设备 关联 的 地 址 组 是 否 正确 ,在 UAM Portal 设备 配置 中 , 单 击 “ 操 
作 ” 一 “端口 组 信息 管理 ”命令 ,如 图 8-297 所 示 。 

(9) iNode 客户 端 Portal 认证 连接 属性 检查 

客户 端 会 主动 发 出 Http 的 Get 请 求 来 获得 设备 重 定向 的 Portal 报 文 , 从 而 获取 Portal 
服务 器 的 地 址 。 在 iNode 客户 端 中 新 建 Portal 连接 时 便 会 执行 此 动作 。 
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fB 北 务 > 用户 接 入 管理 >> Porai ER> RRRA 宠 加 入 收藏 加 帮助 
设备 名 | B£ ~ 
下 发 结果 - 业务 分 组 ~ mA Ea 
增加 
共有 27 条 记录 ， 当 前 第 1-27， 第 11 页。 每 页 显示 : 8 15150] 100 200 
设备 名 版 本 业务 分 组 IP 地址 ET 最 近 一 次 下 发 时 间 
3724614164 Portal 2.0 未 分 组 17216161 E 修改 
192.168.100.1 Portal 2.0 未 分 组 192.168.100.1 x m 
192.168.1.65 Portal 20 未 分 组 192.168.10.1 
192.168.0100 Portal 20 未 分 组 1921680100 è 端口 组 信息 管理 
192.168.16.1 Portal 20 未 分 组 192.168.16.1 < 下 发 配置 
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右 击 “Portal 连接 ”一 选择 “属性 ”命令 ,查看 iNode 连接 属性 中 “网 络 ” 选 项 卡 , 确 认 Portal 
服务 器 的 IP 地 址 是 否 已 自动 填 人 ,如 图 8-298 所 示 。 


RR |! [其 地 
请 选择 认证 使 用 的 协议 类 型 

加 使 用 IPv4 协 议 认 iEEJ 
服务 器 IPv4 G) 172. 16 ,100 122 


O 使 用 IPv6 协 议 认证 D 
服务 器 IPv6 QO 


网 络 恢复 后 自动 重 连 G) 
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说 明 : 对 于 iNode 版 本 低 于 iNode 5. 1(E0301) 4 iNode PC 版 本 在 较 新 版 本 的 设备 环境 
中 使 用 的 情况 ,可 能 会 导致 Node 客户 端 不 能 获取 Portal 服务 器 IP 地 址 ,此 处 不 能 够 自动 填 
入 Portal 服务 器 的 IP 地 址 。 解 决 此 问题 需 升级 Node 客户 端 至 5.1(E0301) 或 其 之 后 版 本 。 

(10) Portal 设备 Radius 配置 检查 

Portal 协议 会 调用 到 Radius 协议 进行 身份 验证 ,相关 配置 举例 如 下 。 


[BAS-radius-radius4portal] display this 

# Radius 方案 配置 

radius scheme radius4portal 
server-type extended 
primary authentication172.16.100.122 
primary accounting 172.16.100.122 
secondary authentication 172.16.100.123 
secondary accounting 172.16.100.123 
key authentication radiuskey 
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key accounting radiuskey 
nas-ip 172.16.100.1 


[BAS-isp-ptl]display this 
# Domain 域 配置 


domain ptl 


access-limit disable 
state active 

idle-cut disable 
self-service-url disable 


authentication portal radius-scheme radius4portal 
authorization portal radius-scheme radius4portal 
accounting portal radius-scheme radius4portal 


说 明 : 


(a) 设备 上 的 Radius 方案 配置 的 是 主 认证 计 费 服务 器 为 172. 16. 100. 122, 从 服务 器 为 
172. 16. 100. 123 ,认证 、 计 费 共 享 密 钥 为 RadiusKey, 另 外 ,对 于 设备 网 络 复杂 的 情况 ,可 使 用 
nas-ip 来 限定 Portal 设备 向 UAM 发 送 Radius 报 文 的 源 IP ,user-name-format 不 配置 默认 为 


without-domain 的 。 


(b) Domain 配置 中 ,认证 、 授 权 、 计 费 类 型 要 选择 Portal, 引入 了 配置 好 的 Radius 方案 。 


(11) UAM 接 人 设备 配置 检查 


检查 设备 类 型 和 设备 密 钥 是 否 配 置 正确 ,检查 接 和 人 设备 IP 地 址 是 否 使 用 的 是 设备 


Radius 方案 中 所 使 用 的 nas-ip 值 。 


结合 本 文 配置 ,UAM 接 和 人 设备 IP 应 为 172. 16. 100. 1。 如 配置 错误 ,需要 将 接 入 设备 删 


除 再 重新 添加 ,如 图 8-299 所 示 。 


m 业务 >> 用 户 接 入 管理 >> 接 入 设备 管理 >> 接 入 设备 配置 >> 修改 接 入 设备 GRI 

1812 * Hmo 1813 

sooo00000 * RHEE — seeeeeeee 

无 # 业务 类 型 LAN 接 入 业务 x 

H3C (General) ~ 组 网 方式 不 启用 混合 组 网 ~ 
设备 P 地 址 
172.16.100.1 H3C S5500-28C-El 

确定 wä | 
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(12) UAM 接 入 账号 及 接 入 服务 配置 检查 


检查 UAM 接 入 服务 中 的 服务 后 级 和 Portal 设备 的 Radius 方案 配置 的 服务 后 级 配置 是 


RoR 


关于 iNode 客户 端 后 绥 是 否 添 加 .认证 设备 Domain 配置 \MC 上 的 服务 后 级 配置 对 应 关 


系 可 参考 表 8-4。 
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表 8-4 后缀 配置 关系 


iNode 认证 连接 用 户 名 | 设备 用 于 认证 的 Domain 设备 配置 的 相关 命令 iMC 中 的 服务 后 缀 
With-domain T: 
XOY x Without-domain PAGE: 
x [Default Domain] With-domain [Default Domain] 
〈 设 备 上 指定 的 默认 域 ) Without-domain PAGE. 
说 明 : 


© 对 于 设备 Radius 方案 中 指定 “user-name-format without-domain” 的 情况 : 在 iMC 接 
入 服务 中 不 配置 服务 后 级 ; 如 对 应 的 域 配置 为 设备 的 默认 域 , 则 客户 端 PC 认证 时 可 以 不 带 后 
缓 名 ,否则 需要 带 后 缓 名。 

© 对 于 Radius 方案 中 指定 的 是 “username-format with-domain” 的 情况 : IMC 接 入 服务 
中 必须 要 配置 服务 后 缓 , 在 使 用 设备 默认 域 做 认证 时 ,客户 端的 用 户 名 可 以 不 带 后 组 ; 如 不 是 
使 用 默认 域 , 则 需要 带 后 组 名 认证 。 

(13) UAM LDAP 同步 账号 及 接 和 人 服务 配置 检查 

对 于 从 LDAP 同步 接 入 账号 来 做 Portal 认证 的 情况 ,需要 检查 iMC 中 LDAP 相关 配置 
和 LDAP 服务 器 上 的 相关 配置 ,具体 请 参阅 UAM LDAP 排 错 相关 篇 目 。 

(14) Portal 身份 认证 测试 

在 浏览 器 或 客户 端 输入 用 户 名 (@ 后 级) 和 密码 , 单 击 “ 连 接 ” 按 钮 。 

浏览 器 使 用 地 址 http://6. 6.6.6/ 进 行 重 定向 认证 ,网 页 上 线 成 功 的 页 面 如 图 8-300 所 示 。 


E 


@ http://172.16.100.122/portal/page/loginSuccjsp?pl=JTdCTIy2Uyb3) © ~ Ë X | O FES 172.16.100.122 x [E tS: 


上 线 成 功 。 
等 待 3 秒 后 本 页 面 将 自动 跳 转 到 http://6.6.6.6 页 面 . 
Tü = 


I MC Portal - window-| 


5868:88:85 


EHHRRHES, TENHHRR. 
您 已 经 建立 TAT] ` 如果 
您 起 继续 使 用 请 不 要 


基本 面 口 。 如 时 起 断 开 过 接 ， 请 
RETEA 


下 续 


图 8-300 ”网 页 上 线 成 功 页 面 


客户 端 上 线 成 功 界面 如 图 8-301 所 示 。 

(15) Portal 设备 逃生 心跳 和 用 户 心 跳 配置 检查 

检查 设备 是 否 支持 逃生 心跳 和 用 户 心 跳 ,并 且 检 查 是 否 已 配置 逃生 心跳 和 用 户 心跳 的 相 
关 命 令 。 


[H3C] portal server imc server-detect method portal-heartbeat action permit-all interval 30 retry 2 
[H3C] portal server imc user-sync interval 400 retry 3 
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O AEV Language) sm, 


ND = 


2013-06-24 17:51:11 开始 进行 身份 验证 .. [estest] 

2013-06-24 17:51:11 正在 上 传 用 户 密码 . . . 

2013-06-24 17:51:12 您 的 身份 验证 成 功 

2013-06-24 17:51:16 系统 管理 员 通知 您 : HEINA: 2 天 ， 本 周期 剩余 时 间 : 1 天 10 小 上 8 分 钟 56 秒 。 


图 8-301 客户 端 上 线 成 功 界面 


说 明 : 如 上 配置 已 在 本 章 8. 1.6 小 节 中 说 明 , 需 要 注意 的 是 ,设备 的 逃生 心跳 配置 值 应 该 
大 于 服务 器 的 发 送 逃 生 心跳 的 间隔 时 间 , 和 否则 有 可 能 出 现 Portal 异常 逃生 的 现象 ,同样 用 户 
心跳 也 需要 设备 配置 时 间 超 过 iMC 配置 的 时 间 。 

(16) UAM Portal 服务 器 逃生 心跳 和 用 户 心跳 配置 检查 

该 参数 对 应 的 在 单 击 “* 业 务 ”-“ 用 户 接 人 管理 ”一 “Portal 服务 管理 ”一 “设备 配置 "一 “ 增 
加 设备 信息 ”命令 后 有 开关 可 以 控制 ,需要 对 应 Portal 设备 中 命令 的 开启 情况 修改 ,如 图 8-302、 
图 8-303 所 示 o 


[T — orh 
基本 信息 

* 日 志 织 别 调试 > * RAREN k g 
h wa lipa 2 Ë Ë perwa š kal 


图 8-302 逃生 心跳 间隔 时 长 设置 


PA 5 > 用 户 接 入 管理 >> portal W >> 设备 配置 >> 增加 设备 信息 orh 
EmnaaGe 
设备 信息 
* 设备 名 17216.16.1 * 业务 分 组 未 分 组 ` 
* 版 本 Portal 20 ` * IP 地 址 17216.16.1 
* 监听 端口 2.2 | * 本 地 Challenge f 3 
认证 重 发 次 数 0 ”下 线 重 发 次 数 | 
支持 先生 心 号 = ` * 支持 用 户 心跳 A ~ 
= ` WASI 
* 组 网 方式 Eg = 
Reme 


8-303 ”支持 逃生 心跳 以 及 用 户 心 跳 设 置 
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说 明 : 

(D 逃生 心跳 功能 简介 : Portal 服务 器 以 逃生 心跳 间隔 时 长 为 周期 ,向 Portal 接 入 设备 发 
送 逃 生 心跳 报 文 。 如 果 设 备 在 一 定时 间 内 没有 收 到 逃生 心跳 报 文 ( 即 Portal 服务 器 无 法 正常 
工作 ) 则 会 从 认证 模式 切换 到 逃生 模式 。 在 逃生 模式 下 ,Portal 接 入 设备 关闭 认证 功能 ,允许 
所 有 用 户 访问 网 络 。 如 果 此 时 设备 收 到 逃生 心跳 报 文 ( 即 Portal 服务 器 恢复 正常 工作 ) ,设备 
会 立即 恢复 成 认证 模式 。 

© 用 户 心跳 功能 简介 : Portal 服务 器 以 用 户 心跳 间隔 时 长 为 周期 ,向 Portal 接 入 设备 发 
送 用 户 心跳 报 文 , 借 此 通知 设备 Portal 服务 器 中 用 户 的 状态 ,并 同步 Portal 服务 器 和 设备 中 
的 用 户 (两 边 同 时 存在 的 用 户 将 继续 在 线 , 其 他 用 户 将 被 下 线 )。 

O 逃生 心跳 和 用 户 心跳 的 开关 在 Portal 服务 管理 下 的 设备 配置 中 ,两 个 心跳 的 间隔 时 长 
在 Portal 服务 管理 下 的 服务 器 配置 中 可 配置 。 

@ 注意 这 两 个 心跳 需要 配合 设备 使 用 。 


08 IMC SE 8.1 业务 软件 ; iMC 8.1.27 AEE ; : 


ic 服务 器 这 行情 况 检查 


x 
DAPA 7 EN 故障 排查 


* 


VAM LpAp 同 步 朱 
轿 配 团 检 查 


Lp 周子 国 步 过 程 
检查 
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= 
08 iMC 管理 软件 “多 8.1 业务 软件 : iMC l Ca la 步骤 详解 


1. 开始 

故障 定位 思路 : 检查 iMC 部 署 以 及 iMC 运行 状况 ,然后 保证 iMC 服务 器 与 LDAP 服务 
器 的 网 络 可 通 。 检 查 UAM LDAP 服务 器 的 配置 ,查看 LDAP 服务 器 配置 的 正确 性 。 根 据 同 
步 策略 是 否 按 需 同步 ,进行 进一步 的 排查 。 若 非 按 需 同步 ,可 通过 查看 iMC 上 LDAP 用 户 的 
同步 状况 ,LDAP 服务 器 上 账号 状态 进行 故障 排查 。 若 为 按 需 同步 ,确认 策略 生效 后 ,可 通过 
在 iMC 上 导出 LDAP 服务 器 上 的 账号 的 方式 排查 LDAP 服务 器 侧 的 问题 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

服务 器 性 能 是 保证 iMC 认证 系统 稳定 运行 的 基本 要 素 , 所 以 排查 问题 是 首先 需要 确认 服 
务 器 软 硬 件 配置 情况 。 

请 对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 查 询 这 套 iMC 服务 器 的 业务 量 是 否 
符合 配置 要 求 。 该 配置 方案 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 。 

D 对 照 4 智 能 管理 中 心 GiMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认 证 数量 大 .Portal 网 页 在 线 数 量 多 , 需 考 虑 是 否 根据 (智能 管理 中 心 CiMC ) 部 
署 和 硬件 配置 方案 ?要求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 。 

重点 需要 检查 内 存 占用 是 否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 CGiMC) 部 署 和 硬件 配 
置 方案 》 计 算出 的 要 求 ,操作 系统 是 否 是 高 性 能 的 x64 版 本 。 

@ 打开 部 署 监控 代理 ,在 部 署 监控 代理 中 查看 部 署 页 面 ,“ 用 户 接 入 管理 "各 组 件 是 否 是 
已 部 署 的 状态 。 

需要 关注 的 组 件 有 用 户 管 理 相关 组 件 , 其 状态 都 应 为 “已 部 署 ", 如 图 8-304 所 示 。 
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图 8-304 ”相关 组 件 部 署 状态 


(2) iMC 服务 器 运行 情况 检查 

查看 部 署 监控 代理 进程 状态 ,必须 都 为 已 启动 状态 ,如 图 8-305 所 示 。 

(3) LDAP 服务 器 连通 性 检测 

O 可 单 击 “检测 ”按钮 以 检查 与 LDAP 的 可 达 性 。 正 常 状 态 如 图 8-306 所 示 , 若 不 正常 则 
检查 下 一 块 配置 。 

@ 检查 底层 链 路 和 路 由 网 络 , 保 证 iMC 服务 器 可 与 LDAP 服务 器 通信 。LDAP 用 户 需 
要 从 LDAP 服务 器 同步 数据 ,可 通过 iMC 服务 器 与 LDAP 服务 器 互 ping 测试 两 者 的 网 络 连 


EG: MC 管理 软件 1107 


EETTEETTEIƏIUEU zs BEE 


监控 进程 | 部署 | ansa] 


O ime eze E# B 本 机 o 7, 192 2013-07-27 01:43:28 核心 进程 自动 图 
Q processor. eze 已 绽 自动 本 机 o 74, 176 2013-07-27 01:43:37 MFFAR 6 
O receiver. eze BEZE] 本 机 o 93,092 2013-07-27 01:43:37 MESAR ”自动 
Q tan eze EZ o 13, 448 2013-07-27 01:43:35 可 管理 进程 。 自动 
Q tttpserver eze 本 机 o 13, 844 2013-07-27 01:43:18 MFRAR 。 自动 
本 机 o 4,668 2013-07-27 01:43:38 MEAR ”自动 
Q :mserver 本 棉 0 205,004 2013-07-27 01:43:15 MESAR G 
(Ë binsserver 正在 自动 ”本 机 O 348, 916 2013-08-04 14:29:20 MERER 手动 
O danserver BRAS 本 机 0 306, 756 2013-07-27 01:43:14 MFPAR 。 自动 
O dataanalrrer BLAH EZ o 78, 508 2013-07-27 01:43:14 MERER 。 自动 
© wat 已 综 自动 ETA 0.04 330, 524 2013-07-27 01:43:14 MEMAR ”自动 


109, 116 2013-07-27 01:43:14 MESAR 。 自动 
4,604, 128 2013-07-27 01:43:14 MERER 。 自动 
312, 504 2013-07-27 01:43:15 MESAR ”自动 
287,648 2013-07-27 01:43:15 MESAR 。 自动 
285, 668 2013-07-27 01:43:14 MESAR ”自动 
228, 488 2013-07-27 01:43:15 MESAR 。 自动 
225, 708 2013-07-27 01:43:15 可 千夫 进程 。 自动 
310, 252 2013-07-27 01:43:14 可 管理 进程 。 自动 
304, 100 2013-07-27 01:43:14 MESAR aH 
273, 732 2013-07-27 01:43:15 AFSAR ”自动 了 
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8-305 ”进程 启动 状态 


mes >> MARATE >> LDAP 北 务 管理 > 服务 器 配置 Wen) ea onn 


| Q RE, wapsupaplppa “172 160 isian 


上 LDAP 服务 器 列表 


sm ][ 7 | asmaam || am jJ 

共有 2 条 记录 。 
| laihaa = n aaan aa a ara aa aa a e 
J 加 17216.09 3 1721609 MREHER 手工 措 定 手工 指定 未 分 组 


图 8-306 正常 状态 


通 性 。 由 于 LDAP 普通 连接 方式 使 用 端口 为 TCP 389,SSL 连接 方式 使 用 端口 TCP 636。 可 
通过 “telnet 目标 ip 对 端 port” ,测试 对 端的 TCP 上 的 该 port 是 不 是 处 于 监听 状态 。 

说 明 : Windows 操作 系统 中 ,通过 

telnet 目标 ip 端口 号 
命令 来 显示 对 端 某 一 端口 的 状态 是 否 处 于 监听 状态 。 

端口 可 用 的 情况 如 图 8-307 所 示 。 输 入 telnet 命令 后 回 车 建立 TCP 连接 。 


图 8-307 端口 可 用 情况 


从 网 卡 抓 包 中 可 以 看 到 TCP 连接 的 建立 。 其 中 ldap 为 LDAP 服务 器 端口 389, 如 图 8-308 
所 示 。 


1108 根 叔 的 云图 一 一 网 络 故障 大 排查 


Protocol Info 


TCP 54144 > Tdap [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=I 
TCP ldap > 54144 [SYN, ACK] Seq=0 Ack=1 win=8192 Len=0 MSS=1460 SACK_PERM=1 
TCP 54144 > ldap [ACK] Seq=1 Ack=1 win=64240 Len=0 


8-308 TCP 连接 建立 


© UAM LDAP 服务 器 配置 检查 。 主 要 检查 服务 器 IP 地 址 .端口 ,以 及 Base DN ,管理 员 
DN 格式 是 否 正 确 。 实 际 使 用 的 是 主 服务 器 还 是 备 服务 器 。 服 务 器 IP 地 址 填 人 为 LDAP 的 


地 址 、 端 口 为 LDAP 服务 器 监听 端口 ,如 图 8-309 所 示 。 
m 3b >> 用 户 接 入 管理 >> LDAP 北 务 管理 >> ESSERE >> 查 调 LDAP 服 务 器 信息 
LDAP 服 务 器 信息 

基本 信息 
服务 器 名 称 1721609 服务 器 版 本 3 
服务 器 IP 地 址 1721609 an 389 
服务 器 类 型 各 次 活动 目录 服务 同步 方式 手工 指定 
实时 认证 是 连接 静 轩 时 长 1 分 钟 
连接 超 时 时 间 xP ASENNA o 
用 户 分 组 手工 指定 站 务 分 组 未 分 组 
连通 服务 器 已 连通 RASSE = 

服务 器 信息 
Base DN dc=h3c,dc=com 
管理 员 DN cn=xun.ou=xun1,dc=h3c,dc=com 
用 户 名 属性 名 称 SAMAccountName 
用 户 密码 属性 名 称 
陈 号 名 截取 方式 不 启用 

备份 服务 器 信息 
LLL LLL 
苗 到 主 自动 切换 x 
切换 时 间 司 隔 24 小 时 

返回 


图 8-309 UAM LDAP 服务 器 配置 检查 


说 明 : 

(a) DN(Distinguished Name) 为 区 别名 称 ,Base DN、 管 理 员 DN 中 填写 内 容 含义 如 下 。 
CN(Common Name) 为 普通 账号 .OU(Organizational Uint) 为 组 织 单元 .DC(Domain Component) 
域名 。 

(b) 对 于 AD 域 , 若 管理 员 账 号 存在 于 Users 中 , 则 管理 员 DN 格式 多 为 : CN 一 XX， 
CN= Users, DC=XX,DC= Com。 

(4) UAM LDAP 同步 策略 配置 检查 

对 同步 策略 配置 进行 检查 ,主要 注意 子 Base DN 的 正确 性 和 过 滤 条 件 填写 的 规范 性 。 另 
外 ,请 注意 该 条 策略 的 同步 方式 是 否 为 自动 同步 ,是 否 为 按 需 同步 。 自 动 同步 的 策略 ,会 周期 
进行 账号 信息 的 同步 。 按 需 同 步 的 策略 ,账号 同步 时 只 是 预 同 步 ,并 不 在 配置 台中 注册 账号 信 
息 。 当 有 账号 进行 认证 时 ,方才 在 配置 台 上 注册 账号 信息 ,如 图 8-310 所 示 。 

说 明 : 

@ 参数 含义 可 在 右上 角 “ 帮 助 ”" 中 查看 。 其 中 子 Base DN 、 过 滤 条 件 是 限定 同步 策略 范围 
的 参数 。 多 个 过 滤 条 件 可 以 组 合 查询 ,每 个 过 滤 条 件 使 用 ()? 括 起 来 ,同时 在 所 有 过 滤 条 件 前 
加 上 “&”“|”“1” 来 分 别 表示 各 个 过 滤 条 件 之 间 的 与 .或 、 非 关系 ,最 后 整个 过 滤 条 件 使 用 “()” 
括 起 来 。 
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71 业务 >> 用 户 接 入 管理 >> LDAP 北 务 管理 >> 月 步 策略 配置 >> 月 步 策略 信息 
ASERRE 
同步 策略 基本 信息 
月 步 策略 名 称 3 ESZRE 17216.0.9 
Baso ON demre decom 
sa 加 
自动 同步 是 REAS 是 
新 增 用 户 及 其 接 入 几 号 = ACFUMPARRAKS = 
仅 同步 当前 节点 下 的 用 户 x tam 未 分 组 
基本 信息 
用 户 娃 名 cn 证 件 号 到 SAMAccountName 
通讯 地 址 电话 
电子 邮件 用 户 分 组 未 分 组 
接 入 信息 
帐号 名 SAMAccountName 失效 日 期 
最 大 闲置 时 长 在 线 教 量 限制 1 
登录 提示 信息 Portali triga A ah 1 


Æ 8-310 UAM LDAP 同步 策略 配置 检查 


© 自动 同步 : 每 天 凌晨 (iMC 服务 器 时 间 ) 自 动 同步 。 

© 按 需 同 步 : iMC UAM 系统 中 不 存在 .而 LDAP 服务 器 中 存在 的 用 户 进 行 接 入 认证 
时 ,UAM 自动 将 认证 请 求 转 给 LDAP 服务 器 进行 校 验 。 如 果 用 户 通过 认证 ,系统 将 自动 将 此 
用 户 从 LDAP 服务 器 同步 到 iMC 中 。 需 要 注意 的 是 ,如 果 MC 中 用 户 相 关 的 License 已 达 授 
权 数 量 的 上 限 , 则 无 法 进行 同步 ,同时 强制 用 户 下 线 。 

(5) 按 需 同步 生效 

车 为 按 需 同步 策略 , 需 单 击 “ 按 需 同步 生效 ”按钮 。 该 功能 可 以 使 所 有 状态 为 * 有效” 的 按 
需 同步 策略 生效 ,如 图 8-311 所 示 。 


LOPAS NEAR 

an PRASE masnsunw| 
共有 2 亲 记 录 ， SWAI -2 W 1/1 页” SARA: 8 15 [50] 100 200| 
TET CE CITIZONCCICECOICEICIICITNCC[EICD 
2 324609 BAMA 来 分 组 有 效 1 a$ 加 其 
husi_ceshi 4172.16.59 mae 未 分 组 at 1 = = as g x 


图 8-311 按 需 同步 生效 


(6) LDAP 用 户 同步 过 程 检查 

对 于 同步 策略 ,车 现场 条 件 允 许 , 可 手工 单 击 “ 同 步 ” 按 钮 。 

正常 情况 下 , 单 击 “ 同 步 ” 按 钮 后 ,显示 同步 策略 同步 已 经 完成 ,同步 用 户 共 X 个 , 共 成 功 
同步 X 个 用 户 ,0 个 用 户 同步 失败 ,如 图 8-312 所 示 。 


| FFLDAP RER 
Q manene. 
FEEFFIF=8t3/i-, HIDREAAP, ORPESA 


图 8-312 LDAP 用 户 同步 过 程 检查 


查看 同步 结果 ,如 图 8-313 所 示 , 若 有 报错 ,根据 错误 日 志 进 行 排查 。 
例如 : 图 8-314 所 示 报 错 信息 就 是 为 与 LDAP 服务 器 连接 问题 。 


1110 根 上 起 的 云图 一 一 网 络 故障 大 排查 


ETE 


SART: 8 15 [50] 100 200| 


1721609 r= +28 
17216.59 BARA 未 分 组 


8-313 ”同步 结果 


ÉQ an> 用 户 入 入 管理 >> LDAP 北 秀 管理 >> ASRARE > 同步 LDAP 用 户 


A ASRR “lusi ces ASPER 


ASAAR0N HRMASOMAA., OMRPASAM» 


D sctmorlogtn - FEE 


AMN SME WUO SaM #m00 
性 LDAP 服 务 器 “172. 16.5. 9” 建 立 连接 失败 ，LDAP 服 务 器 超时 或 IP 地 址 错误 - 


图 8-314 报错 

说 明 : 

(D 若 同步 策略 中 的 账号 过 多 , 则 同步 需要 的 时 间 较 长 。 

@ 对 于 按 需 同步 的 策略 ,同步 成 功 后 不 会 在 MC 上 生成 LDAP 账户 ,只 有 当 该 账号 认证 
接 入 时 才 会 在 iMC 上 生成 账户 。 

(7) LDAP 服务 器 上 用 户 信 息 账 号 状态 检查 

若 账 户 未 同步 成 功 , 多 数 有 两 种 情况 。 

则 查看 iMC 上 普通 账户 中 是 否 已 存在 该 账户 (错误 日 志 中 会 有 提示 ,如 图 8-315 所 示 )， 
同名 账号 无 法 被 同步 。 若 MC 已 有 该 账号 ,可 将 已 有 的 删除 后 再 同步 。 


同步 LDAP 用 户 结果 


(N =e, 


EbFRIF48ta4-, HAMER, 14-FBF,[EPae9 


B 


M) syncErrorlog-txt -记事 本 
ET 
不 能 同步 用 户 “xunl1 ”，LDAP 同 步 策略 中 没有 绑 定 此 用 户 。 


8-315 ”账户 未 同步 成 功 


LDAP 服务 器 上 是 否 该 账号 不 在 同步 范围 内 (无 错误 提示 ,只 能 查看 LDAP 服务 器 该 账 
号 信息 )。 若 不 在 同步 范围 内 则 调整 同步 策略 管理 范围 的 配置 。 

(8) LDAP 服务 器 单 次 同步 最 大 账号 数 检查 

当 同 步 账 户 时 ,所 有 账户 都 不 能 同步 成 功 , 则 可 查看 同步 策略 包含 的 账号 数量 是 否 已 经 超 
过 了 LDAP 服务 器 一 次 同步 账户 的 数量 限制 。 若 超过 限制 ,可 通过 对 LDAP 同步 数量 限制 进 
行 修 改 。 
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说 明 : 

O 查看 及 修改 LDAP 服务 器 单 次 同步 数量 的 方法 

可 参看 kms: 18474, 

@ 检查 方法 

(a) 在 “开始 ”一 “运行 "> 一 “输入 ”下 输入 ; ntdsutil, 回 车 。 

(b) 输入 : ldap policies, 回 车 。 

(c) 输入 : connections, 回 车 。 

(d) 输入 : connect to domain 当前 域名 。 

(e) 连接 提示 出 现 后 ,和 输入: quit, 回 车 。 

(Í) 输入 : show values ,确认 当前 的 最 大 返回 数 (默认 是 1000) 。 

@ 修改 方法 

(a) 输入 : set maxpagesize to 10000 ,将 最 大 返回 数 改 为 10000( 最 大 返回 数 可 以 根据 实际 
情况 自行 定义 ) 。 

(b) 再 度 输 入 : show values, 确 认 当 前 的 最 大 返回 数 (显示 为 : 1000(10000)) 。 

(c) 输入 commit changes 以 确认 修改 。 

(d) 再 次 输入 : show values, 确 认 当 前 的 最 大 返回 数 为 10000。 

(e) 输入 : quit, 退 出 设置 状态 。 

(Ü 输入 : quit, 退 出 当前 命令 。 

(g) LDAP 用 户 手工 导出 检查 。 

若 以 上 步骤 中 检查 都 无 异常 ,可 将 LDAP 账号 导出 为 文本 ,查看 其 中 账号 信息 是 否 正确 。 
若 导 出 的 数据 异常 则 可 能 是 LDAP 服务 器 问题 ,如 图 8-316 所 示 。 


国 二 >> MARATE >> apipi > MASE Om 


LDAPHI ES mot 
BaseDN OU=motDC=h3cDC=com 
* FBaseDN OU=motDC=n3eDC=com ° 


> iteme — (ñ(otyecidass=userXsAMAccountName=")) 


图 8-316 将 LDAP 账号 导出 为 文件 
导出 文件 设置 界面 如 图 8-317 所 示 。 


% AP > 接 入 策略 管理 > LDAP 业 务 管理 > 用 户 导出 > 导出 文件 设置 Orm 
导出 文件 设置 
口 属性 名 称 TORR 
userPrincipainame xun11@n3c com 
O memberOf CN=Domain Admins,CN=Users,DC=h3c.DC=com 
lastLogon 0 
—[1 ur au 


8-317 ”导出 文件 设置 界面 


导出 信息 应 注意 的 关键 信息 点 如 下 。 
displayName( 对 应 iMC 中 的 用 户 名 )、sAMAccountName (对 应 iMC 中 的 账号 名 )、 
distinguishedName( 账 号 在 LDAP 中 路 径 )。 
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EPI KEHE 


= — ihat 
j] === 去 元 上 - 步 结果 和 更 襄 是 


HERE 


R EARP 
JAPIPEAPtMSCHAPV2 
Wec 服 务 路 和 持 入 证 书 补 证 


设备 可 未 性 检查 


VAM Portal 
配置 检查 


拨打 热线 e“ 
400-310-0504 


ZERI 
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08 iMC 管理 软件 > 8.1 业务 软件 : ime sb 


1. 开始 

证 书 认证 (支持 802. 1x 和 Portal) 是 通过 在 Radius 服务 器 和 认证 终端 之 间 传 递 一 系列 安 
全 参数 并 建立 一 个 VPN 隧道 ,然后 在 这 个 隧道 内 安全 传递 认证 信息 的 过 程 。 对 于 证 书 认证 
问题 ,定位 故障 的 思路 及 顺序 是 : U AM 侧 服 务 器 软 硬 件 状 态 及 路 由 可 达 性 检查 、 设 备 侧 认 证 
配置 检查 .UAM 侧 认 证 配置 检查 、iNode 客户 端 配置 检 查 。 

本 文 举例 组 网 如 图 8-318 所 示 。 


° © ô 


认证 终端 PC 认证 设备 H3C iMC 服 务 器 
(AUAM) 


8-318 组 网 举例 


IP 规划 如 下 。 

认证 终端 PC: 172.16.16.2/24, 网 关 172. 16. 16. 1。 

认证 设备 : VLAN 16:172. 16. 16. 1/24,VLAN 100: 172. 16. 100. 1/24。 

iMC 服务 器 : 172. 16. 100. 122/24, RÆ 172. 16. 100. 1 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

服务 器 性 能 是 保证 iMC 认证 系统 稳定 运行 的 基本 要 素 ,所 以 排查 问题 是 首先 需要 确认 服 
务 器 软 硬 件 配置 情况 。 

请 对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 查 询 这 套 MC 服务 器 的 业务 量 是 否 
符合 配置 要 求 。 该 配置 方案 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 。 

O 对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、 同 时 在 线 人 数 多 , 则 需要 根据 (智能 管理 中 心 (iMC) 部 署 和 硬件 配 
置 方案 )》 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 。 

重点 需要 检查 内 存 占用 是 否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 CGiMC) 部 署 和 硬件 配 
置 方案 》 计 算出 的 要 求 ,操作 系统 是 否 是 高 性 能 的 x64 版 本 。 

@ 打开 部 署 监控 代理 ,在 部 署 监控 代理 中 查看 部 署 页 面 “ 用 户 接 人 管理 ?组 件 是 否 是 已 
部 署 的 状态 。 

需要 关注 的 组 件 为 “用 户 接 入 管理 ”及 “Portal 接 入 管理 ”, 其 状态 应 为 “已 部 署 ", 如 图 8-319 
所 示 。 


用 户 接 入 管理 - 第 略 代理 服务 器 ”提供 对 安全 认证 报 文 的 转发 功能 。 
用 户 接 入 管理 - 用 户 自助 服务 提供 用 户 资料 的 自助 查询 和 维护 的 功能 。 已 部 署 
用 户 接 入 管理 - 用 户 接 入 管理 从 .. ， 部 署 在 用 户 接 入 管理 服务 器 之 外 的 其 地 服务 器 上 ， 分.. ，. . 未 部 署 
自主 页 面 定制 Web 服务 器 提供 一 个 独立 的 Yab 容 器， 用 于 发 布 澡 作 员 完 全 自主 
用 户 接 入 管理 - Portal 服 务 器 提供 Portal 认 证 功能 。 


图 8-319 各 组 件 部 署 状 态 
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(2) iMC 服务 器 运行 情况 检查 

查看 “iMC 智能 部 署 监控 代理 ”中 进程 选项 卡 中 是 否 有 未 启动 的 进程 ,各 进程 是 否 正 常 为 
“已 经 启动 ”。 

° 在 部 署 监控 代理 中 ,查看 uam. exe.uamjob.mschapv2server.portalserver 和 policyserver 进 
程 是 否 正常 启动 ,如 图 8-320 所 示 。 


(2 tftps erver exe 0 12,836 2013-12-11 15:40:30 可 管理 进程 ”自动 

0 3,560 2013-12-11 15:40:27 可 管理 进程 自动 
AK: 3 0 44,648 2013-12-11 15:40:18 可 管理 进程 自动 
O :aa 已 经 启动 $ 0 ”165, 888 2013-12-11 15:40:18 可 管理 进程 ”自动 
Q jserver 已 经 启动 ” 本 机 ° 


1,239, 384 2013-12-26 16:27:48 可 管理 进程 自动 
本 机 0.01 63, 396 2013-12-11 15:40:18 可 管理 进程 自动 
43,668 2013-12-11 15:40:18 可 管理 进程 自动 
43, 588 2013- 15.40:18 可 管理 进程 自动 
15:40:18 可 管理 进程 自动 
15:40:18 可 管理 进程 自动 
40,972 2013-12-11 15:41:26 可 管理 进程 自动 
47, 884 2013-12-11 15:40:18 可 管理 进程 自动 


© webservicelodez 
© :sent 
© uanjob 


图 8-320 各 进程 启动 情况 


说 明 : 

(a) 一 般 情 况 下 ,这些 进 程 通过 和 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 

(b) uamjob 功能 主要 是 执行 定时 任务 ,uam 进程 主要 负责 认证 、 计 费 。 

(c) potalserver 进程 负责 Portal 认证 ,mschapv2server 进程 负责 PEAP-MSchapv2 认证 ， 
policyserver 为 策略 服务 器 进程 。 

@ 检查 服务 器 1812、1813、50200、9019 UDP 端口 是 否 被 MC 相关 进程 所 监听 ,如 图 8-321 
所 示 。 


:\Documents and Settings Adninistratorn 
UDP 19 


C:\Documents a 
UDP 18 53: "n 


LPD AMO FEV HAW w 
:\Docunents and Settingssñdministrator>ne 应 用 程序 进程 jee | 联网 | 用 户 | 


UDP 10. 53:9019 "in 
UDP 127.0.0. x: 


Administrator 

: \Docunent Settings\Adninistrator netsta SYSTEM 
UDP 10.58.99 .253:50200 "i explorer. exe Adninistrator 
rdpelip. exe Adninistrator 
logon. ser Adninistrator 
C:\Documents and Settings\Adninistrator Juskack asa Mikai strater. 
Conine. exe Administrator 

csrss. exe SYSTEM 
jusched exe 1 Administrator 

cad exe SYSTEM 
rápelip exe Administrator 

winlogon exe SYSTEM 


13380 Administrator 
amjob 13592 SISTEM 


O wamaq =r-T== — jua 


Q policyserver 已 经 启动 F 显示 所 有 用 户 的 进程 G) 
O :we 已 经 局 动 


Fu SA: ox | 内 存 使 用 : 2an / 669490 


图 8-321 各 端口 被 IMC 进程 监听 情况 
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说 明 : 

(a) Windows 操作 系统 中 ,通过 

netstat -aon | findstr :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID, 

(b) 1812.1813.50200.9019 所 对 应 的 进程 PID 应 分 别 为 uamauthsrv. exe、java. exe、java 
.exe, 后 两 个 java. exe 进程 的 路 径 应 为 iMC 安装 目录 。 

(c) 1812.1813 对 应 的 IP 应 为 UAM 服务 器 实际 IP W h, 50200,9019 对 应 的 IP 应 为 
iMC 服务 器 实际 的 IP 地 址 或 者 0.0.0.0。 

(3) iMC 服务 器 和 接 人 设备 可 达 性 检查 

单 击 “业务 ”用 户 接 人 管理 "一 * 接 和 人 设备 管理 ”一 接 人 设备 配置 ”命令 后 需 添 加 接 人 设 
备 发 给 iMC 服务 器 Radius 协议 报 文 的 端口 IP,iMC 默认 会 同 该 IP 进行 Radius 协议 报 文 交互 ， 
需 保 证 iMC 可 以 ping 通 该 ,本 例 中 接 入 设备 IP 应 为 172. 16. 100. 1, 如 图 8-322 所 示 。 


Pun > 用 产科 和 管理 >> 接 入 设 条 管理 >> RARRRE L OH 
设备 P 地 址 从 至 
设备 名 称 mesra ~ FT] s= 

| 撞 入 设备 列表 
增加 L r TERE v || 同步 请 口 限于 与 平台 设备 同步 L sa 总 AAA 下 发 结果 $t F£ 


共有 5 条 记录 , 当前 第 1- 5, 第 1 页 * 


SARR: 815 [501100 
Oga r= 号 | U[YUTUUTT | 
回 


ua am 未 发 未 同步 . r 
m 55 TË 无 需 同步 ~ 
1721621 来 下 发 zaas L 


图 8-322 iMC 服务 器 和 接 入 设备 可 达 性 检查 
说 明 : 接 入 设备 会 有 多 个 IP 地 址 ,如 果 要 更 改 接 入 设备 IP, 需 在 Radius Scheme 视图 下 
配置 如 下 命令 。 
[sw-radius-h3c] nas-ip 172. 16. 2. 1, 并 在 iMC 上 更 改 为 172. 16. 2. 1 。 
(4) 设备 侧 配 置 检查 
如 果 是 802. 1x 认证 , 则 需 进 行 如 下 配置 。 


[BAS-radius-h3c] display this 

# Radius 方案 配置 

radius schemeh3c 

Server-type extended 

primary authentication 172.16.100.122 
primary accounting 172.16.100.122 
key authenticationh3c 

key accountingh3c 

nas-ip 172.16.100.1 


[BAS-isp-dotlx] display this 

# 域 配置 

domaindotlx 
authenticationlan-access radius-scheme h3c 
authorizationlan-access radius-scheme h3c 
accountinglan-access radius-scheme h3c 

[swjdotlx 

[sw]j dotlx authentication-method eap 

[sw-GigabitEthernet1/0/12] dotlx 
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说 明 : 

O H3C 设备 默认 的 认证 方式 为 CHAP ,证书 认证 必须 为 EAP 方式 ( 透 传 证 书信 息 ), 所 
以 必须 将 认证 方式 改 为 EAP。 

© Radius nas-ip 默认 为 与 iMC 服务 器 相连 接口 的 IP 地 址 。 

如 果 是 Portal 认证 , 则 需 在 设备 上 进行 如 下 配置 。 


# Radius 方案 配置 

radius schemeh3c 

server-type extended 

primary authentication 172.16.100.122 
primary accounting 172.16.100.122 
key authenticationh3c 

key accountingh3c 

nas-ip 172.16.100.1 


# 域 配置 
domainportal 
authenticationportal radius-scheme h3c 


authorizationportal radius-scheme h3c 
accountingportal radius-scheme h3c 


portal 配置 
[sw] portal server portal ip 172.16.100.122 key h3c url http: //172.16.100.122:8080/portal 


[sw-Vlan-interfacel]ip add 172.16.16.1 24 
[sw-Vlan-interfacel] portal server portal method direct 
[sw-Vlan-interface1] portal nas-ip 172.16.16.1 


(5) UAM 接 人 设备 配置 检查 

D 共享 密 钥 须 和 接 人 设备 配置 保持 一 致 。 

© 接 入 设备 类 型 : 根据 实际 情况 选择 。 

@ 组 网 方式 : 如 果 接 和 人 设备 支持 计 费 报 文 , 则 选择 不 启用 混合 组 网 ,如 果 接 人 设备 不 支 
持 计 费 报 文 , 则 选择 启用 混合 组 网 。 

@ 设备 IP: 默认 是 发 给 iMC 服务 器 Radius 报 文 的 接口 P 地 址 ,本 例 中 应 为 172. 16. 100.1, 
如 图 8-323 所 示 。 


m 业务 >> 用 户 接 入 管理 >> 接 入 设备 管理 >> 接 入 设备 配置 >> 修改 接 入 设备 
RARE "I 
* WBO 1812 -HRO 1813 
REEN e.. ”确认 共享 而 钥 fee 
接 入 区 域 无 ` 北 务 关 型 LANGAIS =| 
楼 入 设备 类 型 H3C(General) ~ SAÈ TERRASSA ` 
ECEN "| 
共有 1 条 记录。 
EG ET 
172161001 
确定 取消 


图 8-323 UAM 接 人 设备 配置 检查 


说 明 : 如 果 填 写 接 入 设备 其 他 端口 IP 作为 接 入 设备 IP, 须 在 Radius Scheme 视图 下 配置 
nas-ip: 192. 168. 2. 1 。 


EEE MC 管理 软件 
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(6) UAM 服务 配置 检查 


检查 UAM 接 和 人 服务 中 的 服务 后 缀 是 否 和 接 人 设备 的 Domain, Radius Scheme 配置 保持 
一 致 ; 确认 该 接 入 规则 是 否 配置 了 正确 的 认证 方式 (是 TLS 还 是 PEAP 方式 ), 如 图 8-324 所 
示 。 对 于 EAP 认证 模式 ,iNode 客户 端 ( 手 机 自 带 客 户 端 后缀 是 否 添加 、 认 证 设备 Domain 配 


置 iMC 上 的 服务 后 级 配置 对 应 关系 可 参考 表 8-5。 


ÈL is > MARATE >> msmmma > whmarmam 
天 本 信息 
ESE sortx 
tsan 示人 组 
Bureme 不 使 用 安全 各 
BURARHTEME TER 
ERKE 
ELET] T 
biai IPotafigktetiwipipu a 
RAMEE 
接 入 场景 LUT] CELL] 内 网 外 联想 于 获 省 私有 属性 下 发 生路 ET 
8-324 ”默认 接 入 规则 
表 8-5 ”后缀 配置 关系 
iNode 认证 连接 用 户 名 | 设备 用 于 认证 的 Domain 设备 配置 相关 命令 iMC 中 服务 后 级 
x@Y Y With dotais l Y 
Without-domain Y. 
2 With-domain 无 后 组 
x Pre Domaini Without-domain 无 后 组 


在 “证 书 认证 类 型 "里 面 确认 色 选 的 是 TLS 还 是 PEAP 认证 方式 ,如 图 8-325 所 示 。 


R 用 户 > 接 入 策略 管理 > 接 入 第 略 管理 > IHAA 


EN 
接 入 策略 名 “ byod 


业务 分 组 Fam ~] 


ë 


授权 信息 
接 入 时 段 无 ` Jo] 
下 行 速率 (Kbps) 
优先 级 


证 书 认证 不 启用 (®)EAP 证 书 认证 ( OWAPIIFSRAWE 


口 下 发 UserProfile 
[LL 下 发 ACL 


分 配 IP 地 址 * 
上 行 速率 (Kbps) 
启用 RSA 认 证 


下 发 用 户 组 


8-325 证 书 认证 类 型 


说 明 : EAP 认证 方式 会 透 传 所 有 报 文 , 此 时 设备 侧 配 置 的 user-name-format 作用 失效 ， 
客户 端 认证 用 户 名 如 果 包 含 后 缓 , 则 服务 里 面 也 必须 有 后 缓 , 如 果 客 户 端 认 证 用 户 名 不 带 后 


缓 , 则 服务 里 面 也 一 定 不 要 带 后 缓 。 
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(7) UAM 侧 证 书 配置 检查 

证 书 配置 路 径 为 :“ 用 户 ”-* 接 人 策略 管理 ”~ 业务 参数 配置 ”证 书 配置 ”一 “查看 配 
置信 息 ”, 如 果 是 证 书 认 证 , 则 iMC 侧 必 须 有 根 证 书 和 服务 器 证 书 , 确 认证 书 仍 在 有 效 期 内 且 
保证 从 根 证 书 到 服务 器 证 书 的 证 书 链 完整 。iMC 支持 的 根 证 书 文件 格式 为 : pem(base64 位 
编码 ,文件 后 级 为 . pem 或 . cer) ,der(der 编码 ,文件 后 级 为 . der 或 . cer) .pkcs12(pkcs12 编码 ， 
文件 后 级 为 . pfx R. p12) 。 注 意 : 如 果 证 书 格式 是 pfx 格式 , 则 不 支持 pvk 格式 的 私 钥 文件 。 
iMC 支持 的 服务 器 证 书 文 件 格式 为 : pem(base64 位 编码 ,文件 后 缀 为 . pem 或 . cer) ,der(der 
编码 ,文件 后 级 为 . der 或 . cer) ,pkcs12(pkcs12 编码 ,文件 后 级 为 . pfx 或 . p12); 若 服务 器 证 书 
和 私 钥 在 同一 个 文件 , 则 不 能 使 用 der 文件 ,如 图 8-326 所 示 。 


6) 用 户 > 接 入 第 略 管理 > 业务 参数 配置 > 证 书 配置 > 查看 配置 信息 


查看 配置 信息 
根 证 书 颁发 者 CN=byod-WIN-H5PQ2F5BAD3-CA.DC=byod,DC=com 
服务 器 证 书 主题 CN=AdministratorCN=Users,DC=byodDC=com 
服务 器 证 书 有 效 起 始 时 间 2013-12-07 
服务 器 证 书 有 效 终止 时 间 2014-12-07 
证 书 吊销 列表 更 新 方式 Import 
证 书 吊销 列表 最 后 获取 时 间 


8-326 UAM 侧 证 书 配置 检查 


(8) 是 否 Portal 认证 

如 果 是 Portal 认证 则 转向 UAM Portal 配置 检查 ,如 果 是 802. 1x 认证 , 则 直接 确认 是 否 
LDAP+EAP+MSCHAPV2 认证 。 

(9) UAM Portal 配置 检查 

Portal 有 服务 类 型 配置 ,如 果 需 要 配置 服务 类 型 , 需 保证 服务 类 型 标示 和 域名 保持 一 致 ， 
服务 类 型 无 要 求 , 可 随便 写 一 个 好 记 的 名 称 , 如 图 8-327 所 示 。 


[Porta Wen 
| 清 玉 报 文 超 8 时 长 做 ) ° 56]® ZERUA — 
OOOK ARI a > 使 用 组 存 e z 
rosana ist sam ~ HTIPSOR ATERA 页 面 > 
1172.16.0.22.8080/portay 
|Portal 主 页 
a 

高 级 信息 

MERIME 

共有 2 条 记录 。 


8-327 ”服务 类 型 


保证 用 户 认 证 的 IP 地 址 已 经 添加 到 IP 地 址 组 里 面 ,如 图 8-328 所 示 。 
确认 已 配置 Portal 设备 如 图 8-329 所 示 。 


E> iMC 管理 软件 1119 


E 用 户 > 接 入 第 略 管理 > Portal 服 务 管理 > IP 地 址 组 配置 > 增加 IP 地 址 组 


IP 地 址 组 名 * 17216.161 


8-328 IP 地 址 添加 


12 用户 ” 搞 入 第 三 管理 ”Portal 服务 管理 > BARE > MWRRE 


EA -| 
7216.16.1 


本 地 chalenge * 
L. u 
#tmeon - 
auma 


8-329 ”确认 已 配置 Portal 设备 


说 明 : 

O IP 地 址 : 默认 为 启用 Portal 认证 vlan 接口 的 IP 地 址 ,本 例 中 即 为 172.16.16.1, 也 可 
以 修改 为 设备 上 其 他 接口 地 址 , 单 需 要 在 vlan 接口 视图 下 配置 : Portal nas-ip x. x. x. x, 

© 端口 默认 为 2000, 无 须 修改 。 

© 密 钥 : 和 portal server portal keyxxx url http://ip:port/portal 中 xxx 保持 一 致 。 

O 组 网 方式 : 终端 和 认证 vlan 属 同一 网 段 时 选择 直 连 ,不 在 同一 网 段 时 选择 三 层 。 

最 后 再 确认 该 Portal 设备 下 的 端口 组 已 经 正确 关联 到 用 户 的 IP 地 址 段 , 如 图 8-330 所 示 。 


Ë 用 户 RARRER > Portal 服 务 管理 > 设备 配置 > 端口 组 信息 配置 > SHORES 


Psz15861 


用 户 属性 类 型 H P User Agent v 默认 认证 页 面 PC-B WebihiE X 


图 8-330 Portal 设备 下 的 端口 组 
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说 明 : 

Q 认证 方式 : 证 书 认证 必须 选择 为 EAP 认证 。 

© IP 地 址 组 : 确认 关联 的 是 用 户 的 IP 地址 段 。 

(10) 是 否 AD 用 户 十 PEAP 十 MS-CHAPV?2 证 书 认证 

确认 认证 用 户 是 否 属于 AD 认证 用 户 , 是 否 采用 PEAP MS-CHAPV?2 证 书 认证 ,确认 方 
式 如 下 ,如 果 不 属于 此 种 情况 , 则 直接 检查 UAM 账号 配置 ,如 图 8-331 所 示 。 


GLS > PBA WS > BA RD >> BARANA 


证 书 认证 
认证 证 书 类 型 EAP-PEAPIAIE >` WERFAN MS-CHAPV2 认 证 e 


图 8-331 证 书 认证 确认 


说 明 : AD 用 户 : 仅 指 从 微软 LDAP 服务 器 同步 过 来 的 用 户 ,open LDAP 用 户 无 须 配置 
PEAP 预 控 服 务 器 ; iMC 仅 同步 用 户 账户 ,并 不 同步 用 户 密码 。 

(11) 域 控 服 务 器 侧 虚拟 计算 机 配置 检查 

D 虚拟 计算 机 名 称 和 路 径 检查 。 虚 拟 计算 机 必须 在 Computers 下 新 建 ,首先 保证 虚拟 计 
算 机 路 径 正 确 , 路 径 格式 一 般 为 CN = ComputerName, CN = Computers, DC = XXX, DC = 
XXX, 本 例 中 路 径 的 正确 写法 为 : CN= H3C,CN=Computers,DC= H3C.DC=Com; 然后 需 
保证 该 名 称 和 “UAM 侧 域 控 服 务 器 配置 检查 ”配置 的 虚拟 计算 机 名 称 保持 一 致 ,如 图 8-332 
所 示 。 


田 
a xut 
田 国 xun2 


8-332 与 虚拟 计算 机 名 称 一 臻 
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O 虚拟 计算 机 密码 检查 。 虚 拟 计 算 机 密码 检查 分 为 以 下 3 个 步骤 。 
第 1 步 ,从 UAM 服务 器 下 载 密码 修改 脚本 ,如 图 8-333 所 示 


了 us > mA WI > 站务 关 雪耻 于 >> FRA >> PEPUERE 
PAPA WEOE 
* 0985825 Wmr3G4OCIRD2RVn3c com 9 
机 me 9 
机 有 = 9 + WN š 9 
* DNS 靶 务 器 P 1721609 e . WEAS 172.186.0.9 9° 
asea as B ` sensan ED 9 
二 | 服务 吕 失 作 系 绞 上 本 [ETEEIIECETTES - 
RS —— eenen ien it 
cma 


图 8-333 ”修改 脚本 


第 2 步 ,确认 密码 修改 脚本 的 内 容 , 该 密码 需 和 “UAM 侧 域 控 服 务 器 配置 ?设置 的 虚拟 计 
算 机 密码 保持 一 致 ,如 图 8-334 所 示 。 


ss 
文件 (F) REE 格式 (0) EEV) EH 
Option Explicit 虚拟 计算 机 名 称 


Dim objComputer _ 

Set objC ftUbject 

(“LDAP:/ N=Compu: =CONTOSO, DC=CON”) 
ob jCompu assword [Lis N 


W 22 Quit 


虚拟 计算 机 密 丰 


图 8-334 与 虚拟 计算 机 密码 一 致 
第 3 步 , 在 域 控 服 务 器 侧 CMD 下 使 虚拟 计算 机 密码 生效 。 
确认 密码 和 名 称 无 误 后 ,在 域 控 服务 器 CMD 命令 行 下 执行 该 脚本 ,执行 后 不 能 有 出 错 提 
示 , 如 果 不 能 保证 之 前 是 否 正确 执行 ,可 再 次 执行 该 脚本 ,如 图 8-335 所 示 。 


cs C: \FINDOFS\system32\cad. exe 


图 8-335 在 CMD 命令 下 执行 脚本 


(12) UAM 侧 域 控 服务 器 配置 检查 
域 控 服务 器 全 名 是 指 AD 服务 器 的 计算 机 名 称 ,虚拟 计算 机 名 称 和 密码 需 和 ” 域 控 服 务 器 
即 配置 ? 侧 的 配置 保持 一 致 ,如 图 8-336 所 示 。 
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Pg n > 用户 入 入 管理 >> 北 务 半数 本 秆 >> Sem >> PEAPUAWEMISIPE 
[== waman 一 一 一 一 一 
` 二 服务 中 全 名 WIN-3G4OCIRD2RVn3ccom 9 
二 计算 机 名称 mae e 
HEMOS š ss WUENHENEB š s 9 
DNS 服务 器 PP 1721609 e 域 社 服务 器 IP 1721609 a 
mzma - 本 地 服务 各 江口 9812 a 
域 务 器 操作 系 统 版 本 3 = 
RHEE 0.9808moipeapPasswordScnptofeName=ModtyCompulerAccountPass vos 
mA | 
图 8-336 PEAP 认证 域 控 配 置 


O DNS 服务 器 IP; 必须 填写 实际 IP 地 址 ,不 能 填写 127. 0.0. 1。 
O 域 控 服务 器 IP: 必须 填写 实际 IP 地 址 ,不 能 填写 127.0. 0. 1 。 
O 本 地 服务 器 端口 : 确认 不 要 修改 此 端 


aF 


@ 域 控 服务 器 操作 系统 版 本 : 如 果 使 用 


iNode 


客户 端 认证 , 则 此 处 填写 实际 操作 系统 版 


本 ,其 他 情况 均 填写 Windows 2003 或 之 前 版 本 。 
虚拟 计算 机 全 名 的 查看 方法 如 图 8-337 


所 示 。 
《 


3) UAM 账号 信息 检查 


确认 账号 状态 、 绑 定 信息 .引用 的 服务 ,并 根 


据 配置 对 引用 的 服务 进行 检查 ,如 图 8-338 所 示 。 


E 用 户 > 所 有 接 入 用 户 >> 未 分 组 > 接 入 用 户 信息 


计算 机 名 | 硬件 | 高 级 | 远程 | 
My wass 使 有 以 下 信息 在 3 络 中 村 这 后 计算 机 。 


计算 机 描述 中); 


图 8-337 虚拟 计算 机 全 名 查看 


接 入 用 户 信息 
基本 信息 
用 户 姓名 test 
通讯 地 址 
电子 邮件 
接 入 信息 
账号 名 test 
允许 用 户 修改 密码 是 RMA PEA 
开户 日 期 2013-07-22 下 次 登录 须 修改 密码 = 
最 后 下 线 时 间 2013-07-25 14:02 失效 日 期 
最 大 闲置 时 长 在 线 数 里 限制 1 
在 线 杖 态 不 在 线 Portak ikin Api 1 
登录 提示 信息 
计 费 信息 
账号 类 型 MB ELES] 000 元 
自助 充值 允许 
接 入 服务 
不 使 用 安全 第 跑 +w 
o AAE a ESNA] 


图 8-338 UAM 账号 信息 检查 
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说 明 : 该 步骤 主要 是 确认 账号 引用 的 服务 ,该 服务 中 是 否 引用 了 之 前 配置 的 接 入 策略 。 

(14) iNode 客户 端 配置 检查 

证 书 认 证 十 802. 1x, 可 以 使 用 系统 自 带 客户 端 ; 证 书 认证 十 Portal 必须 使 用 iNode; 客户 
端 证 书 配置 分 以 下 两 种 情况 。 

O EAP-TLS 证 书 认证 。 

EAP-TLS 证 书 认证 时 ,客户 端 必 须 安 装 客 户 端 证 书 ,默认 客户 端 证 书 名 称 必 须 和 接 人 上 账 
户 名 保持 一 致 ,否则 会 提示 证 书 无 效 , 如 图 8-339 所 示 。 

如 果 客 户 端 没 有 根 证 书 则 不 能 选择 “验证 服务 器 证 书 单 选 框 。 

© EAP-PEAP 证 书 认证 。 

采用 PEAP 证 书 认证 时 ,客户 端 可 以 没有 任何 证 书 ; 客户 端 没有 根 证 书 时 , 则 不 能 选择 
“验证 服务 器 证 书 ” 单 选 框 ,如 图 8-340 所 示 。 


RERPRU: 


dotix@dotix 


dotix@dotix 


安全 用 户 名 (J): 


图 8-339 验证 服务 器 证 书 


说 明 : 


安全 密码 (wW); 


[sam J (ma J 


安全 密码 (W); 
口 从 证 书 演 职 用 户 名 (6) 从 证 书 演 职 用 户 各 (9) 
EBAR IAA 
CRANEO. | AREAWERG). 
EMRS MERV 


图 8-340 选择 验证 服务 器 证 书 


(a) EAP-TLS: 双向 证 书 认证 ,客户 端 必 须 有 客户 端 证 书 , 如 果 不 验证 服务 器 证 书 , 客 户 


端 可 以 没有 根 证 书 。 


(b) PEAP: 单 向 证 书 认证 ,客户 端 可 以 没有 认证 证 书 。 


(15) iNode 客户 端 账号 信息 检查 


iNode 客户 端 账号 及 后 组 配置 请 参考 表 8-6. 


表 8-6 iNode 客户 端 账号 及 后 缀 配置 
iNode 认证 连接 用 户 名 | 设备 用 于 认证 的 Domain 设备 配置 相关 命令 iMC 中 服务 后 缀 
With-domain X 
X@Y Y 
Without-domain Y 
. With-domain 无 后 组 
Deu Domat Without-domain 无 后 缀 


8.1.29 EIA 之 BYOD 
特性 故障 排查 


iMC 


8.1 业务 软件 : 
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EES 8.1.29 EIA Z BYOD : 
08 iMC 管理 软件 8.1 业务 软件 : iMC 特性 故障 排查 步骤 详解 


1. 开始 

当前 ,移动 互联 网 在 全 球 掀起 了 新 的 发 展 高 潮 , 特 别 是 随 着 移动 智能 终端 的 日 益 普及 , 移 
动 应 用 和 服务 不 断 丰 富 , 迅 速 进入 了 移动 互联 网 高 速 发 展 阶段 。 特 别 是 移动 互联 网 用 户 数量 、 
终端 数量 .市场 规模 的 增长 速度 和 态势 非常 迅猛 ,移动 互联 网 蕴含 着 巨大 的 市 场 空 间 和 发 展 前 
景 。 智 能 手机 ,平板 电脑 等 移动 终端 彻底 改变 了 人 们 的 生活 方式 ,不 管 对 于 企业 ,还 是 个 人 , 自 
由 选择 办 公 终 端 无 疑 可 以 提高 工作 效率 ,所 有 的 这 些 ,都 促 生 了 BYOD (Bring Your Own 
Device) 的 产生 和 繁荣 。BYOD 指 带 自己 的 终端 上 班 ,这 些 设备 包括 个 人 电脑 手机、 平板 等 ， 
现在 更 多 情况 指 手机 或 平板 这 样 的 移动 智能 终端 设备 ,目前 BYOD 技术 主要 集中 在 如 何 解 决 
移动 终端 (手机 、 平 板 `.POS 机 等 ) 认 证 控制 的 方案 ,主要 解决 : @D 终 端的 智能 识别 。 四 基于 用 
户 身份 和 终端 类 型 的 认证 和 权限 控制 。@@ 基 于 终端 和 身份 的 安全 控制 , 简 而 言 之 , 即 同 一 个 账 
号 用 不 同 的 终端 上 线 下 发 不 同 的 网 络 访问 权限 以 确保 内 网 的 安全 。 

BYOD 排 错 的 基本 思路 : BYOD 是 一 种 新 型 的 解决 方案 ,其 中 最 重要 的 技术 关键 是 终端 
识别 ,H3C EIA 当前 支持 DHCP 特征 识别 .HTTP User Agent 特征 识别 、MAC 地 址 识别 、 
iNode 客户 端 识 别 4 种 方式 来 识别 终端 的 厂商 ,终端 类 型 .操作 系统 等 信息 ,可 以 基于 不 同 的 
认证 方式 ,包括 MAC 认证 .Portal 认证 ,802. 1x 认证 来 实现 ,而 在 不 同 的 认证 方式 场景 ,可 以 
选择 不 同 的 终端 识别 技术 。 既 然 BYOD 基于 准 入 控制 ,那么 首先 检查 服务 器 软 硬 件 及 性 能 是 
和 否 满 足 当 前 认证 需要 ,然后 根据 不 同 的 认证 方式 进行 检查 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

需要 对 照 (智能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 》, 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 我 们 推荐 的 运行 iMC 最 基本 的 部 署 要求 , 请 严格 执行 。 

D 对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认 证 数量 大 、Portal 网 页 在 线 数量 多 , 需 考 虑 是 否 根 据 ( 智 能 管理 中 心 (iMC) 部 
署 和 硬件 配置 方案 ) 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 ,重点 需要 检查 内 存 占用 是 
和 否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 》 计 算出 的 要 求 ,操作 系 
统 和 数据 库 是 否 为 64 位 ,建议 使 用 64 位 系统 。 

© 单 击 “开始 ”~~* 智 能 部 署 监控 代理 ”命令 ,选择 "部 署 ?标签 ,检查 “EIA”“EIP( 终 端 智能 
识别 ) 功 能 模块 ”是否 已 经 部 署 ,如 图 8-341 所 示 。 

说 明 : EIA V7 版 本 开始 ,BYOD 功能 需要 购买 EIP 授权 才能 使 用 。EIP( 终 端 智能 识别 ) 
属于 EIA 的 一 个 功能 模块 ,如 果 需 要 部 署 BYOD, 必 须 部 署 EIP 模块 。 

(2) iMC 服务 器 运行 情况 检查 

要 顺利 实施 BYOD 解决 方案 ,除了 确保 UAM 相关 进程 运行 正常 外 ,还 要 检查 策略 服务 
器 对 应 的 进程 及 绑 定 的 端口 是 否 正常 ,具体 检查 方式 请 参考 认证 类 和 EAD 管理 云图 ,此 外 ， 
必须 确保 BYOD 的 EIP 功能 模块 后 台 对 应 的 eipserver 进程 运行 正常 ,如 下 所 示 。 

单 击 “ 开 始 ”>“ 智 能 部 署 监 控 代 理 ” 命 令 ,选择 “进程 ”标签 ,查看 EIP 的 进程 eipserver 是 
否 正 常 启动 ,具体 如 图 8-342 所 示 。 
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中 智能 部 署 监 控 代理 Me E 
mele #7 |zmmal 
[I sats | [入 | e | amoa] 
J 应 用 管理 用 于 监视 不 同 种 类 北 务 的 应 用 程 . ¿mc AP 7.0 (0201) 未 部 署 加 
I 用 户 接 入 管理 -用户 接 入 管理 提供 对 接 入 用 户 、 接 入 业务 的 配 ”imC VAN T 1 (E0301) DRE “ 主 服务 器 

° Ey 1 部 MSs 
SE ERRE MR TPES 
J 用 户 接 入 管理 - 策略 服务 器 提供 安全 认证 的 功能 。 ic VAN 7.1 (E0301) 已 部 署 ERAS 
9 用 户 接 入 管理 - 第 略 代理 服务 器 。 提供 对 安全 认证 报 文 的 转发 功能 。 iMc_ UAM 7 1 Œ0301) 已 部 署 RAS 
S 用 户 接 入 管理 - 用 户 自助 服务 提供 用 户 资 料 的 自助 查询 和 维护 .. inc ua 7.1 (E0301) 已 部 署 。 主 服 务 器 
启用 户 接 入 管理 - 用 户 接 入 管理 从 .. 部 署 在 用 户 接 入 管理 服务 器 之 外 . .imC VAN T 1 Œ0301) 未 部 署 
$ 自主 页 面 定制 feb 服 务 器 提供 一 个 独立 的 wet 容器 ， 用 于 imc VAM 7.1 Œ0301) 已 部 署 — 主 服务 器 
S 用 户 接 入 管理 - Portal 服 务 器 提供 Portal 认 证 功能 。 iMC VAN 7.1 Œ0301) 已 部 署 — 主 服务 器 
O 用 户 接 入 管理 - 第 略 代 理 服 务 器 — 提供 对 安全 认证 报 文 的 转发 功能 。 imC VAN 7.1 Œ0301) 未 部 署 
O 自主 页 面 定制 Yeb 服 务 器 提供 一 个 独立 的 feb 容器 ， AF... mc uam 7.1 (301) 未 部 署 
J csi Bug 对 接 入 用 户 进 行 计 更 管 理 。 imc CAMS 7.1 (E0301) 已 部 署 。 主 服务 器 
f 用 户 行为 审计 提供 对 多 种 用 户 行为 日 志 的 快速 .. mc VBA 7.1 人 E0301) 已 部 署 — 主 服务 器 
雇用 户 行为 审计 服务 | 提供 对 多 种 用 f finc vsa 7.1 (eos01) | 已 部 署 | 主 服务 器 
O 用 户 行为 审计 服务 提供 对 多 种 用 户 行为 日 志 的 管理 . . imc VBA 7.1 (E0301) 未 部 署 
$ 智 能 策略 服务 代理 提供 统一 的 策略 服务 代理 功能 ， ic ISP 7.1 (E0302) 已 部 署 — 主 服务 器 
O 智能 策略 服务 代理 提供 统一 的 第 略 服 务 代理 功能 ，. . ¿uC ISP 7.1 (E0302) 未 部 署 

图 8-341 ”部署 情况 

而 智能 部 署 监控 代理 [=[9| 


监控 进程 | 部署 | 运行 环境 | 


图 8-342 ”进程 启动 情况 


PSH 


说 明 : 一 般 情 况 下 2 etp t KAR p EEB DARA hB” 


(3) MAC 无 感知 认证 实现 BYOD 的 配置 检查 

为 了 实现 所 有 终端 完全 无 感知 快速 接 入 网 络 ,EIA 侧 提 供 了 BYOD 匿名 账号 的 快速 认 
证 , 即 认 证 设备 侧 启 用 MAC 认证 ,EIA 服务 器 侧 创 建 byodanonymous 账号 ,所 有 终端 接 入 网 
络 即 可 快速 以 终端 MAC 地 址 作为 登录 名 ,byodanonymous 为 接 入 用 户 通过 认证 ,为 了 适当 分 
配 授 权 , 为 byodanonmous 账号 创建 了 单独 的 服务 ,也 可 灵活 地 通过 BYOD 注册 页 面 将 当前 
MAC 地 址 和 正式 账号 或 访客 账号 进行 绑 定 来 实现 授权 的 快速 变更 , 既 快 捷 又 方便 。 在 MAC 


无 感知 认证 实现 BYOD 场景 需要 从 如 下 几 方 面 进行 排查 。 


© binsserver 已 经 启动 ” 本 机 0 T788,840 2014-10-30 14:46:55 可 管理 进程 ”自动 
O dnserver 已 经 启动 本 机 O 670,424 2014-10-30 14:46:55 可 管理 进程 “自动 
O emoserver 已 经 启动 本 机 0 716,808 2014-10-30 14:46:55 可 管理 进程 ”自动 
© emomdmagent 已 经 启动 +W 0 86,856 2014-10-30 14:46:55 可 管理 进程 ”自动 
O ulat 已 经 启动 ”本 机 0 967, 236 2014-10-30 14:46:55 可 管理 进程 ”自动 
© ispserver 已 经 启动 ” 本 机 0 ”681,792 2014-10-30 14:46:55 可 管理 进程 ”自动 
© unbaserver 已 经 启动 ”本 机 0 380, 500 2014-10-30 14:46:55 可 管理 进程 ”自动 
© jserver 已 经 启动 ë 本 机 0.01 4,536,688 2014-10-30 14:46:55 可 管理 进程 ”自动 
© portalserver 已 经 启动 ” 本 机 O 917,744 2014-10-30 14:46:55_ 可 管理 进程 ”自动 
O vebserviceiodel 已 经 启动 。 本 机 O 946,384 2014-10-30 14:46:55 可 管理 进程 ”自动 
O webserviceliodez 已 经 启动 。 本 机 O 946, 460 2014-10-30 14:46:55 可 管理 进程 自动 
O selat 已 经 启动 本 机 0 952, 208 2014-10-30 14:46:55 可 管理 进程 ”自动 
O -abserver 已 经 启动 本 机 O 966, 960 2014-10-30 14:46:55 可 管理 进程 “自动 
CE 已 经 启动 本 机 0 602, 452 2014-10-30 14:46:55 可 管理 进程 ”自动 
O nschapv2server 已 经 启动 本 机 0 943, 716 2014-10-30 14:46:55 可 管理 进程 ”自动 
Q uanThirdauth 已 经 启动 本 机 0 737, 352 2014-10-30 14;46.55 可 管理 进程 “自动 

v | 已 经 启动 l O| 694,064|2014-10-30 14: 4 自动 
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O MAC 认证 配置 检查 。MAC 无 感知 认证 基于 MAC 认证 ,而 实现 BYOD 的 前 提 是 
MAC 认证 正常 ,有 关 MAC 地 址 认证 的 配置 方法 请 参考 认证 类 相关 云图 或 相关 产品 配置 手 
册 ,在 此 不 再 叙述 。 


© BYOD 注册 页 面 配置 检查 。 用 户 可 以 通过 EIA V7 的 “终端 页 面 定制 ”功能 自行 定制 
BYOD 注册 页 面 ,如 图 8-343 所 示 。 


pyri 


I 


模板 1 十 增加 模板 2 十 增加 zatan 自 定义 十 增加 
定制 PUREO SEM “ At ° £w m su B DJ 
O Rameo mex Eri R 

o w Ez] 未 分 组 po TE B g ü 


图 8-343 BYOD 注册 页 面 
在 定制 完毕 BYOD 注册 页 面 后 ,需要 重启 iMC 相关 进程 (集中 式 部 署 时 重启 jserver,EIP 
部 署 在 从 机 上 时 重启 webserver) 才 会 生效 。 
© BYOD 参数 配置 检查 。 
(a) 首选 需要 创建 byodanonymous 账号 , 单 击 “ 用 户 ”>“ 接 入 用 户 ”>“ 增 加 接 入 用 户 ” 命 


< ,增加 或 选择 一 个 已 经 存在 的 用 户 姓 名 后 ,选择 “默认 BYOD 用 户 ? 选 项 框 即 可 自动 生成 
byodanonymous 账号 ,如 图 8-344 所 示 。 


R 用 户 > RARA > 增加 接 入 用 户 


RARA 
接 入 信息 


用 户 姓名 * Et o A 


账号 名 “ 
HAPAA 可 默认 BYOD 用 户 


8-344 ”创建 账号 


(b) 启用 MAC 无 感知 认证 , 单 击 “ 用 户 ”>“ 接 入 策略 管理 ”>“ 业 务 参数 配置 ">“ 系 统 配 
置 "一 "终端 管理 参数 配置 "命令 ,选择 “启用 MAC 无 感知 认证 "为 是”, 如 图 8-345 所 示 。 


82 用户 > PARRER  LESARA > 系统 配置 > 终 庙 管理 参数 配 秆 


终 庙 生理 参数 配置 
启用 MAC 天 感知 认 证 是 | 


图 8-345 启用 MAC 无 感知 认证 
说 明 : 此 处 如 果 不 选择 “是 ”启用 MAC 无 感知 认证 ,那么 MAC 认证 可 以 通过 ,但 是 不 能 
实现 MAC 和 账号 来 进行 授权 的 变更 。 
(4) H3C DHCP Agent 工具 状态 检查 
MAC 无 感知 认证 需要 DHCP 指纹 法 来 进行 终端 识别 ,需要 在 DHCP 服务 器 侧 安装 H3C 
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DHCP Agent 工具 ,由 该 工具 监控 DHCP 服务 器 的 地 址 分 发 过 程 ,并 截获 终端 发 送 的 DHCP 
请 求 报 文中 的 Option55 字段 给 EIA 服务 器 ,如 图 8-346 所 示 。 


图 8-346 H3C DHCP Agent 工具 状态 


说 明 : 

@ DHCP Agent 安装 包 见 EIA 安装 包 内 ,DHCP Agent 的 版 本 需要 和 相应 的 EIA 版 本 
二 二 刚 应 5 

© “ÈM Agent”: 即 启动 该 Agent 工具 。 

@ “UAM 服务 器 IP”; 即 UAM 部 署 的 服务 器 IP, 如 果 UAM 分 布 式 部 署 , 则 填写 分 布 式 
服务 器 IP。 

®© “UAM 服务 器 断 开 ”: UAM 服务 器 监听 报 文 的 端口 ,不 建议 修改 。 

O “AEAN”, 分 为 “致命 /错误 /警告 /信息 /调试 5 个 级 别 ,默认 “警告 ”级别 ,在 问题 定 
位 时 需要 收集 调试 级 别 日 志 。 

© 修改 配置 后 ,需要 单 击 “保持 配置 ”, 并 “启动 DHCP Server”, 

(5) MAC 地 址 和 账号 绑 定 检查 

匿名 MAC 认证 成 功 后 ,如 果 需 要 做 权限 变更 ,就 涉及 通过 BYOD 注册 页 面 将 当前 MAC 
地 址 和 正式 账号 或 访客 账号 进行 绑 定 , 绑 定 完 毕 后 ,策略 服务 器 会 踢 用 户 下 线 , 重 新 认证 上 线 ， 
此 时 认证 方式 还 是 MAC, 但 是 拥有 之 前 绑 定 账 号 或 访客 服务 的 权限 ,如 图 8-347 所 示 。 


8-347 MAC 地 址 绑 定 正式 账号 前 查看 账号 名 


O MAC 地 址 绑 定 正式 账号 前 查看 账号 名 。 单 击 * 用 户 ? 一 终端 设备 管理 ”命令 ,其 账户 
名 为 byodanonymous 。 
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© MAC 绑 定 正 式 账号 后 ,其 账号 名 变更 为 byod, 如 图 8-348 所 示 。 


8-348 ”账号 名 变更 


(6) 终端 识别 结果 检查 

在 用 户 认 证 成 功 后 ,根据 管理 员 配 置 的 不 同 接 人 场景 而 下 发 不 同 控制 策略 来 进行 授权 , 举 
例 : 管理 员 创建 了 一 个 服务 : 111, 该 服务 里 绑 定 了 两 个 接 和 场景 ,分 别 对 应 Windows 和 
Andriod 操作 系统 ,并 分 别 下 发 不 同 的 接 人 策略 ,如 图 8-349 所 示 。 即 Windows 终端 上 线 后 下 
发 接 人 策略 “123456”,Andriod 终端 上 线 后 下 发 接 人 策略 “access permit”, 


G 用 户 > MARRET ” 接 入 服务 管理 > KARES 


基本 信息 
服务 名 * [| ESEN 
业务 分 组 “ +a RUMANE - BERA -© 
bureng’ Tem munhu - Fen 7 
BULAMEFENG FEA -© FD ° tm ~ 
ime ° THR 
炭 认 BYOD 页 面 * PC -默认 页 面 (PC + 
BSE 
ELELO] 口 Pora 天 li 证 国 
BA58518. 
mm 
Ba BAN rowa BiAA LARUFA — PFDMG2M BYOD 页 而 
Pe 123456 不 使 用 不 使 用 不 合用 不 他 用 Bi (PC) 
Andnod access permit TEM 不 使 用 不 使 用 不 使 用 默认 页 而 (PC) 
-ME na... 


8-349 ”不同 接 入 场景 


说 明 : 一 个 服务 可 以 绑 定 多 个 接 入 场景 ,不 同 的 接 入 场景 可 以 根据 不 同 的 接 入 条 件 下 发 
不 同 的 接 入 策略 来 进行 授权 分 发 。 

当 一 个 终端 认证 通过 后 ,可 以 单 击 * 用 户 ” 一 “终端 设备 管理 ”命令 ,在 如 图 8-350 所 示 页 面 
查看 该 终端 对 应 的 终端 类 型 .操作 系统 .厂商 等 信息 。 

(7) Portal 认证 实现 BYOD 的 配置 检查 

Portal 认证 ,Portal 在 英语 中 是 入 口 的 意思 。Portal 认证 通常 也 称 为 Web 认证 ,一 般 将 
Portal 认证 网 站 称 为 门户 网 站 。 基 本 思想 : 未 认证 用 户 上 网 时 ,认证 设备 会 强制 用 户 登 录 到 
特定 Web 站 点 ,用户 可 以 免费 访问 该 Web 站 点 的 服务 。 当 用 户 需 要 使 用 互联 网 中 的 其 他 信 
息 时 ,必须 在 门户 网 站 进行 认证 ,只 有 认证 通过 后 才 可 以 使 用 互联 网 资源 。Portal 业务 可 以 为 
客户 提供 方便 的 管理 功能 ,门户 网 站 可 以 开展 广告 .社区 服务 等 个 性 化 业务 ,为 了 方便 客户 对 
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门户 网 站 的 个 性 化 定制 ,EIA V7 版 本 开始 还 增加 了 终端 页 面 定制 功 能 ,针对 PC 和 Phone 两 
种 终端 类 型 提供 了 大 量 的 Portal “ss ,认证 成 功 页 面 、 心 跳 页 面 的 模板 ,用 户 可 以 便捷 地 
定制 出 适合 自己 的 Portal 页 面 ,然后 根据 不 同 的 AP 不同 IP 地 址 段 , 不 同 操作 系统 推送 不 同 
的 Portal 页 面 。Portal 认证 场景 可 以 使 用 iNode 客户 端 ,也 可 以 使 用 浏览 器 免 客 户 端 进行 认 
证 ,由 于 三 层 协议 架构 使 得 Portal 认证 在 组 网 上 非常 灵活 , 正 因为 如 此 ,Portal 认证 场景 下 的 
BYOD 也 深 受 客户 喜爱 。 


B 用 户 > 终 i 


终端 设备 查 调 
账号 名 ] MAC 地 址 


启用 上 必用 时 间 。 [ Jim 


操作 系统 


WER ”批量 号 入 ”禁用 MAC 无 感知 认证 。 ”启用 MAC 无 感知 认证 。 ”清除 终端 信息 。 清除 限定 接 入 | 
| ”MAC 地址 ° 账号 名 ^ 用 户 姓名 ç 厂商 人 终 庙 类 型 Ç 操作 系统 人 
] 10:60:4B:73:EE:D1 test test PC Windows7 


图 8-350 终端 类 型 页 面 


Portal 认证 方式 下 实施 BYOD, 主 要 针对 客户 公司 内 部 员工 或 外 来 访客 
公司 内 部 员工 都 有 自己 的 认证 上 网 账号 ,而 ° 来 访客 可 以 通过 用 户 自助 或 短信 方式 进行 
开户 。 终 端 在 认证 前 必须 获得 IP, 所 以 DHCP 指纹 识别 法 常用 于 Portal 认证 场景 的 BYOD， 
- 般 排 查 步 又 如 下 。 
O 终端 DHCP 是 否 获 取 到 了 正确 的 IP。 直 接 打 开 网 卡 属性 查看 或 打开 终端 PC 的 CMD 
命令 行 窗口 输入 ipconfig /all, 回 车 如 图 8-351 所 示 。 如 果 是 手机 终端 , 则 直接 检查 无 线 网 络 
是 否 获 取 到 了 IP。 


> Advanced-N 6205 


图 8-351 确认 DHCP 是 否 获取 正确 IP 


2) Portal 配置 检查 。BYOD 的 前 提 是 确保 Portal 认证 正常 ,有 关 Portal 认证 的 配置 方 
法 ,请 参考 Portal 认证 排查 云图 或 公司 官网 的 典型 配置 手册 ,本 文 不 再 详细 叙述 。 

© H3C DHCP Agent 工具 状态 检查 。 如 果 采 用 DHCP 指纹 法 来 进行 终端 识别 ,需要 在 
DHCP 服务 器 侧 安装 H3C DHCP Agent 工具, 由 该 工具 监控 DHCP 服务 器 的 地 址 分 发 过 
程 ,并 截获 终端 发 送 的 DHCP 请 求 报 文中 的 Option55 字段 给 EIA 服务 器 ,如 图 8-352 
所 示 。 
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8-352 H3C DHCP Agent 工具 状态 检查 


说 明 

(a) DHCP Agent 安装 包 见 EIA 安装 包 内 ,DHCP Agent 的 版 本 需要 和 相应 的 EIA 版 本 
===, 

(b) “B M Agent”; 即 启 动 该 Agent 工具 。 

(c) “UAM 服务 器 IP”, 即 UAM 部 署 的 服务 器 IP, 如 果 UAM 分 布 式 部 署 , 则 填写 分 布 
式 服务 器 IP。 

(d) “UAM 服务 器 断 开 ”: UAM 服务 器 监听 报 文 的 端口 ,不 建议 修改 。 

(e) “日志 级 别 ”; 分 为 “致命 /错误 /警告 /信息 /调试 "5 个 级 别 , 上 默认“ 警告 "级 别 ,在 问题 
定位 时 需要 收集 调试 级 别 日 志 。 

(f) 修改 配置 后 ,需要 单 击 “ 保 持 配 置 ”", 并 “启动 DHCP Server”, 

D 终端 识别 结果 检查 。 

在 用 户 认 证 成 功 后 ,根据 管理 员 配 置 的 不 同 接 人 场景 而 下 发 不 同 控制 策略 来 进行 授权 , 举 
H: 管理 员 创 建 了 一 个 服务 : 111, 该 服务 里 绑 定 了 两 个 接 人 场景 ,分 别 对 应 Windows 和 
Andriod 操作 系统 ,并 分 别 下 发 不 同 的 接 和 人 策略 。 即 Windows 终端 上 线 后 下 发 接 人 策略 
“123456”,Andriod 终端 上 线 后 下 发 接 入 策略 "access permit”, 如 图 8-353 所 示 o 


服务 名 In1 BSAN 
M59348 saa BURANE m  -+jo 
默认 安全 第 路 Fen z BUARPHERE mem X 
BULSRETANN" FEA = mu Bapasam ° Fen = 
L u THE - 
uvoomm， U Pecomamacec-] 
dit 
Dara 口 PoraFEEJo 认 证 © 
[at | 
和 名称 BAN 安全 和 和 Bia Anmnremm APDARE BYOD 页 面 
PC 123456 不 使用 不 使 用 不 合用 不 使用 pu (PC) 
户 — 2 = | 
oa m. 


8-353 ”不同 接 入 场景 
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说 明 : 一 个 服务 可 以 绑 定 多 个 接 入 场景 ,不 同 的 接 入 场景 可 以 根据 不 同 的 接 入 条 件 下 发 
不 同 的 接 入 策略 来 进行 授权 分 发 。 

当 一 个 终端 认证 通过 后 ,可 以 单 击 “ 用 户 ”>“ 终 端 设备 管理 ”命令 ,在 如 图 8-354 所 示 页 面 
查看 该 终端 对 应 的 终端 类 型 .操作 系统 、 厂 商 等 信息 。 


8 用 户 > aaa 
账号 名 MAC 地 址 
BAARNE La 至 
r we 
操作 系统 MAC 无 感知 认证 状态 
[J] wacimt © 账号 名 ^ ”用 户 姓名 $ 厂商 人 终端 类 型 ”操作 系统 ° 
C] 10604873EED1 test test PC Windows 7 


图 8-354 页面 查看 


© 802. 1x 认证 实现 BYOD 的 配置 检查 。 

(a) 802. 1x 的 配置 检查 。 

802. 1x 配 置 检查 包括 IMC 服务 器 侧 的 配置 包括 接 入 设备 、 服 务 、 接 入 策略 等 配置 以 及 认 
证 设备 侧 配置 ,具体 的 配置 方法 请 参考 802. 1x 认证 排查 云图 ,本 文 不 再 详细 叙述 。 

(b) H3C DHCP Agent 工具 状态 检查 。 

如 果 采 用 DHCP 指纹 法 来 进行 终端 识别 ,需要 在 DHCP 服务 器 侧 安装 H3C DHCP 
Agent 工具 ,由 该 工具 监控 DHCP 服务 器 的 地 址 分 发 过 程 , 并 截获 终端 发 送 的 DHCP 请 求 报 
文中 的 Option55 字段 给 EIA 服务 器 ,如 图 8-355 所 示 o 


图 8-355 工具 状态 检查 


说 明 : 

DHCP Agent 安装 包 见 EIA 安装 包 内 ,DHCP Agent 的 版 本 需要 和 相应 的 EIA 版 本 
一 一 对 应 。 

四 “启用 Agent”; 即 启动 该 Agent 工具 。 

© “UAM 服务 器 IP”: 即 UAM 部 署 的 服务 器 IP, 如 果 UAM 分 布 式 部 署 , 则 填写 分 布 式 
服务 器 IP。 
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@ “UAM 服务 器 断 开 ”: UAM 服务 器 监听 报 文 的 端口 ,不 建议 修改 。 

© “ARAA”: 分 为 “致命 /错误 /警告 /信息 /调试 5 个 级 别 ,默认 警告" 级别, 在 问题 定 
位 时 需要 收集 调试 级 别 日 志 。 

O 修改 配置 后 ,需要 单 击 “保持 配置 ”, 并 “启动 DHCP Server”, 

(c) 终端 识别 结果 检查 。 

802. 1x 认证 场景 ,一 般 是 认证 通过 后 再 获取 IP, 也 就 是 说 首次 认证 通过 后 EIP 才 识 别 该 
终端 类 型 ,所 以 第 一 次 认证 成 功 后 该 账户 匹配 的 是 默认 接 入 策略 , 需 下 线 重 连 才能 匹配 相关 的 
接 人 策略 下 发 相应 的 授权 。 


PIRA 
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TE 8.1.30 EAD 补丁 管理 ; 
08 iMC 管理 软件 8.1 业务 软件 : iMC 故障 排查 步骤 详解 


1. 开始 

EAD 补丁 管理 策略 可 以 定期 检查 终端 PC 的 补丁 并 结合 补丁 服务 器 自动 更 新 补丁 ,将 不 
符合 策略 要 求 的 终端 踢 下 线 或 限制 在 “隔离 区 ”内 ,防止 “危险 ?终端 对 网 络 安全 的 损害 ,避免 
“ 易 感 ”终端 受 病毒 .蠕虫 的 攻击 。EAD 补丁 管理 排 错 思路 : 身份 认证 之 后 才 会 触发 安全 认 
证 ,关于 身份 认证 失败 的 排查 思路 可 以 参考 具体 的 认证 类 云图 ,在 此 不 再 叙述 。 

首先 检查 服务 器 软 硬 件 及 性 能 是 否 满足 当前 认证 需要 ,然后 从 iNode PC 和 iNode DC 两 种 
客户 端 认 证 场景 进行 分 析 , 相 应 做 iMC 服务 器 运行 状态 的 检查 ,安全 策略 配置 检查 ,终端 补丁 安 
装 情况 检查 ,补丁 服务 器 运行 状态 检查 ,最 后 对 终端 PC 和 补丁 服务 器 的 连通 性 进行 检查 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规 范 检查 

需要 对 照 (智能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 ), 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 我 们 推荐 的 运行 iMC 最 基本 的 部 署 要求 ,请 严格 执行 。 

D 对 照 4 智 能 管理 中 心 GiMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、Portal 网 页 在 线 数量 多 , 需 考虑 是 否 根 据 ( 智 能 管理 中 心 (iMC) 部 
署 和 硬件 配置 方案 ) 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 ,重点 需要 检查 内 存 占用 是 
否 过 高 ,内存 大 小 是 否 满足 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 计 算出 的 要 求 ,操作 系 
统 和 数据 库 是 否 为 64 位 ,建议 使 用 64 位 系统 。 

© 单 击 “ 开 始 " 一 “智能 部 署 监 控 代理 "命令 ,选择 “部 署 " 标 签 ,检查 “EAD 安全 策略 管理 ” 
各 组 件 是 否 已 部 署 的 状态 ,具体 如 图 8-356 所 示 , 关 于 “用 户 接 入 管理 "组件 的 检查 方式 ,请 参 
考 认证 类 云图 。 


局 智能 部 署 监 控 代理 Loix] 
MEJE] 


PTTITTTTTI 对 网 络 流量 信息 提供 各 角度 的 统计 . . ， 1XC NTA 5.2 (E0401) 
O 用 户 行为 惠 计时 务 提供 对 多 种 用 户 行为 日 二 的 徊 畦 功能 。 ixC UBA 5.2 (E0401) 
EEC] 采集 并 让 折 改 备 上 网络 攻 能 相关 的 ，，_iyC SEN 5 2 (E0401) 
YTLYTYTEKITIN TI 提供 对 炙 入 用 户 、 楼 入 业务 的 配置 、， iN VAN 5.2 (E0402P05) 
O APERAS - Portal RAS 旬 供 Portal 认 证 功能 . iMC UAM 5.2 (E0402P05) 
PAPRASTA - ORAS 提供 5Y0D 的 功能 - ANC VAN 5.2 (E0402P05) 


I APEEF- RARAS 提供 交 全 认证 的 功能 - NC VAN 5.2 (E0402P05) 
SAPETE - RHERAS ERARSUERIHR ENM. ANC VAN 5.2 (E0402P05) 
I APETA - 用 户 自助 服务 提供 用 户 资料 的 自助 查询 和 纵 坊 的 ANC VAN 5.2 (E0402P05) 
B APESE E a A La Ca nA sa NN ~ ANC VAN 5.2 (E0402) 


MAE 条 而 资产 各 加 提供 对 条 面 资产 业务 的 配置 和 用 户 ANC EAD 5.2 (E0402P05) 
AD 来 全 铺 略 乔 埋 -和泉 而 资产 管理 代 . . ， 提供 对 泉 面 资产 乔 埋 根 文 的 转发 功能 -iiyC EAD 5.2 (E0402P05) 


Æ 8-356 组件 部 署 状态 


HA: EAD 安全 策略 管理 一 桌面 资产 管理 和 EAD 安全 策略 管理 一 桌面 资产 管理 代理 服 
务 器 是 桌面 资产 (DAM) 管 理 的 功能 组 件 ,在 EAD 解决 方案 中 可 以 不 部 署 。 
(2) iMC 服务 器 运行 情况 检查 
要 顺利 实施 EAD 解决 方案 ,除了 确保 UAM 相关 进程 运行 正常 外 ,还 要 检查 策略 服务 器 
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对 应 的 进程 是 否 运行 正常 ,及 进程 绑 定 的 端口 是 否 正常 ,具体 可 从 如 下 两 方面 检查 。 
O 单 击 “ 开 始 ” 一 “智能 部 署 监控 代理 ”命令 ,选择 “进程 ”标签 ,查看 EAD 的 核心 进程 
policyserver 是 否 正常 启动 ,具体 如 图 8-357 所 示 。 
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图 8-357 ”进程 启动 情况 


说 明 : 一 般 情 况 下 ,这 些 进程 通过 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 
O 检查 策略 服务 器 对 应 的 监听 端口 UDP 9019, UDP 9017 是 否 正 常 绑 定 ,如 图 8-358 
所 示 。 


图 8-358 各 端口 正常 绑 定 情况 


说 明 1: 如 图 8-358 所 示 ,9019 和 IP, 分 别 是 127.0.0.1 和 实际 网 
卡 IP, 如 图 8-359 所 示 。172.16.100.122, 而 9017 端口 只 需 绑 定 实际 网 卡 IP 即 可 。 

说 明 2: Windows 操作 系统 中 ,通过 命令 netstat -aon |findstr 端口 号 来 显示 某 端口 的 监 
听 状 态 以 及 对 应 的 进程 PID, 举 例 ; 对 应 提示 符 回 显 , 如 图 8-360 所 示 。 

其 中 第 一 列 UDP 监听 的 协议 ; 第 二 列 172. 16. 100. 122: 9017 所 指 监 听 的 服务 器 的 IP 和 
端口 号 ; 第 三 列 *. x 代表 监听 状态 ; 最 后 一 列 6520 代表 此 协议 监听 的 进程 PID, 根 据 此 
PID, 对 照 Windows 任务 管理 器 , 即 可 确定 该 端口 绑 定 的 具体 服务 。 

(3) EAD 配置 检查 

要 实施 EAD 的 补丁 管理 ,服务 器 侧 必 须 创 建安 全 策略 ,并 且 确 保安 全 策略 里 配置 了 补丁 
检查 方式 以 及 隔离 ACL, VLAN 的 配置 ,具体 从 如 下 两 方面 检查 
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S Ttindors 任务 管理 器 ME 
文件 四 选项 @) FEV 帮助 0 


应 用 程序 进程 | 性 能 | 联网 | 用 户 | 


DRE e CPU 合用 30% AFEA: sm 7 324W — [r 2 
图 8-359 ”端口 号 绑 定 的 IP 


图 8-360 ”提示 符 回 显 


Q@ 排查 补丁 检查 方式 的 配置 。 

只 有 账号 绑 定 了 正确 的 “服务 ”“ 服 务 " 绑 定 了 正确 的 “安全 策略 ”“ 安 全 策略 ”配置 了 正确 
的 “安全 级 别 " 和 “补丁 检查 方式 ”, 才 会 进行 补丁 的 检查 。 

检查 账号 是 否 配置 了 正确 的 补丁 检查 方式 最 直观 的 方法 。 

通过 接 和 人 账号 确定 其 绑 定 的 服务 ,然后 通过 服务 确定 其 绑 定 的 安全 策略 ,通过 安全 策略 确 
定 具体 的 补丁 检查 方式 和 安全 级 别 , 安 全 级 别 是 下 线 , 隔 离 , 提 醒 , 还 是 监控 ,针对 Windows £ 
统 支持 手工 检查 和 结合 微软 WSUS 补丁 服务 器 自动 检查 ,具体 如 图 8-361 所 示 , 单 击 * 业 务 ” 一 
“EAD 安全 软件 ”>“ 终 端 安全 软件 策略 管理 ”命令 。 


补丁 性 于 二 和 六 7 天 ORAT EETHEN EOR ipphmepE > REPARE HRR. ) 


192 168 100 100 
PTET TENTAN. AeRENIT' | 


图 8-361 自动 检查 


如 果 需 要 通过 微软 服务 器 检查 , 则 需要 预先 搭建 WSUS 补丁 服务 器 (WSUS 补丁 服务 器 
的 安装 可 参考 KMS - 6660) ,然后 在 图 8-361 的 “服务 器 地 址 ? 栏 中 填写 正确 的 补丁 服务 器 IP, 

“补丁 检查 不 合格 提示 ” 栏 中 填写 的 信息 ,在 补丁 检查 不 合格 的 时 候 会 下 发 给 iNode 客户 
端 提醒 用 户 ,如 图 8-362 所 示 。 

说 明 1: 

(a) EAD 手动 检查 补丁 的 方式 ,是 根据 EAD 补丁 管理 中 创建 的 补丁 名 称 和 补丁 级 别 检 
查 终端 PC 的 补丁 安装 情况 ,然后 在 安全 策略 中 的 Windows 补丁 配置 栏 中 选择 “补丁 级 别 ”， 
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HTERAMNK7E 。 《如 雪 修 汐 补丁 必 百 权柄 扩 请 进 入 "EAD 雪 全 管理 > EP > FABIE HEA. ) 


Riga 四 重要 目 -g Pr 


[192 168 100 168 


补丁 检查 不 合格 提示 


8-362 ”补丁 检查 不 合格 提示 


配置 “补丁 服务 器 地 址 ”和 “补丁 检查 不 合格 提示 ”信息 ,该 补丁 服务 器 地 址 只 用 于 告知 终端 用 
户 补丁 服务 器 的 地 址 ,便于 手工 下 载 补 丁 ,“ 补 丁 检 查 不 合格 提示 ”信息 ,在 补丁 检查 不 合格 的 
时 候 会 下 发 给 iNode 客户 端 提醒 用 户 。 

(b) 手工 检查 不 支持 对 Windows 应 用 软件 ,如 Windows Media Player, Microsoft Office 
等 和 其 他 软件 (如 奇 虎 、360 等 ) 的 补丁 检查 。 

说 明 2, 当前 补丁 管理 只 支持 自动 联动 WSUS 补丁 服务 器 对 Windows 终端 PC 做 补丁 
检查 。 

补丁 检查 具体 步骤 : 第 一 ,用 户 上 网 前 ,由 接 入 设备 控制 将 该 用 户 的 访问 权限 限制 到 隔离 
区 内 。EAD 客户 端 首先 向 EAD 策略 中 心 发 起 安全 认证 请 求 。 第 二 ,EAD 策略 中 心 根据 用 户 
角色 下 发 要 求 进行 补丁 检查 指令 。 第 三 ,AD 客户 端 收 到 补丁 检查 指令 ,首先 判断 是 否定 制 了 
简易 补丁 功能 ,如 果 定 制 了 ,就 开始 使 用 内 置 的 补丁 检查 接口 检查 补丁 是 否 及 时 更 新 ,并 将 检 
查 结果 发 送 给 EAD 策略 中 心 , 如 果 合格 ,EAD 策略 中 心 通知 接 入 设备 ,将 该 用 户 的 访问 权限 
从 隔离 区 放 开 ,用 户 可 以 正常 访问 其 他 授权 的 网 络 资源 。 第 四 ,如 果 不 合格 ,用 户 依 然 被 限制 
在 隔离 区 内 ,只 能 访问 补丁 服务 器 等 安全 资源 ,因此 不 会 受到 外 部 病毒 和 攻击 的 威胁 。 同 时 客 
户 端 自动 过 渡 到 补丁 自动 升级 阶段 。 第 五 ,由 用 户 根据 补丁 更 新 过 程 中 出 现 的 情况 按 提示 进 
行 相关 的 操作 (如 : 重启 机 器 等 ) ,确认 完成 补丁 升级 后 ,由 用 户 干预 通过 EAD 客户 端 界面 再 
次 发 起 安全 认证 ,重新 检测 补丁 安装 情况 ,如 果 合 格 , 则 放 开 用 户 访问 权限 。 

测试 WSUS 补丁 服务 器 是 否 可 用 的 最 简单 方法 是 用 一 台 没 有 更 新 补丁 的 PC 接 入 能 访 
问 WSUS 的 网 络 ,观察 能 否 正常 更 新 补丁 。 

@ 授权 配置 检查 。 当 终端 不 满足 安全 策略 时 ,会 将 该 用 户 下 线 或 者 放 到 隔离 区 ,而 隔离 
区 的 构造 通常 通过 下 发 ACL 或 VLAN 实现 ,在 使 用 ACL 或 VLAN 进行 授权 场景 ,需要 确保 
下 发 后 终端 PC 和 策略 服务 器 能 正常 通信 。 

例如 : 终端 PC: 192. 168. 100. 1 ,策略 服务 器 : 172. 16. 100. 200, 补 丁 服务 器 : 172. 16. 
100. 210 如 果 使 用 ACL 进行 授权 , 则 设备 侧 的 ACL 配置 中 必须 有 放 通 源 IP:192. 168. 100. 1， 
目的 IP:172. 16. 100. 200 和 172. 16. 100. 210 的 rule, 如 图 8-363 所 示 。 


rule 2 deny ipe 


8-363 终端 PC 


如 果 ACL 是 下 发 给 iNode 客户 端 ,服务 器 侧 的 客户 端 ACL 配置 中 也 必须 有 放 通 目的 IP 
为 策略 服务 器 和 补丁 服务 器 的 规则 ,如 图 8-364 所 示 。 

EAD 构造 隔离 区 有 下 发 ACL 和 VLAN 两 种 ,而 ACL 可 以 下 发 给 设备 ,也 可 以 下 发 给 
iNode 客户 端 。VLAN 只 能 下 发 给 设备 ,向 接 和 人 设备 下 发 接 人 用 户 所 使 用 的 VLAN ,可 以 下 
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È VLAN ID, 也 可 以 下 发 VLAN NAME, WA FË VLAN ID, 则 VLAN ID 必须 在 1 一 4094 
之 间 , 如 果 接 入 设备 上 不 存在 此 VLAN ID, 则 会 自动 创建 ,如 果 下 发 VLAN NAME, 接 入 设 
备 上 必须 预先 创建 此 VLAN NAME, FW FÈK VLAN 无 效 。 如 果 ACL 下 发 给 设备 , 则 必 
须 预 先 在 设备 侧 配 置 好 ACL, 如 果 ACL 下 发 给 iNode 客户 端 , 则 ACL 规则 需要 在 iMC 服务 
器 侧 配置 ,并 且 iNode 需要 定制 客户 端 ACL 功能 ,如 图 8-365 所 示 。 
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(4) 终端 PC 补丁 安装 情况 检查 

在 实施 EAD 补丁 检查 策略 之 前 ,为 了 不 影响 正常 业务 ,请 确保 各 终端 满足 补丁 检查 策略 
要 求 ,更 新 要 求 的 补丁 版 本 ,可 以 通过 单 击 “控制 面板 ”程序 ”~ 查看 已 安装 的 更 新 ”命令 来 
查看 已 经 下 载 更 新 的 补丁 ,如 图 8-366 所 示 。 

本 例 使 用 Windows 7 进行 举例 ,不 同 操作 系统 查看 补丁 方式 可 能 不 同 。 

(5) 终端 PC 补丁 自动 更 新 开关 检查 

在 结合 WSUS 补丁 服务 器 检查 补丁 场景 ,需要 手工 开启 终端 PC 的 补丁 自动 更 新 服务 ， 
否则 无 法 自动 更 新 补丁 ,补丁 检查 时 会 提示 补丁 更 新 失败 ,启动 补丁 自动 更 新 服务 的 方法 : 单 
击 “ 控 制 面板 ”>“ 管 理工 具 ”>“ 服 务 " 命 令 ,启动 名 称 为 "Windows Update” 的 服务 ,如 图 8-367 
所 示 。 
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能 
Q HARD Windows M 


名称 E£ 状态 
Ü Windows Media Cente... 电视 或 FM 广播 接收 

Ü Windows Media Cente.. £ Windows Media... 

Ü Windows Media player.， 使 用 通用 即 插 即 用 设 .… 

f Windows Modules Inst.. E Windows Upd.. 已 启动 
mA Ü Windows Presentation .. JEJERAN.. 

启用 检测 、 下 载 和 安装 Windows 和 G} Windows Remote Man... Windows TESI.. 
Windows Search 为 文件 . 电子 部 件 和 .。 已 启动 
Windows Update 或 其 自动 更 新 功 Q Windows Time 维护 在 网 络 上 的 所 有 .已 启动 
能 ， 并 且 这 些 程序 棕 无 法 使 用 动 
Windows Update Agent (WUA) 
API. 


f Wired AutoConfig 有 线 自 动 配置 (DOT3.。 已 启动 


8-367 PC 补丁 自动 更 新 


(6) iNode 定制 功能 和 支持 列表 检查 

如 果 需 要 做 EAD, 终 端 PC 必须 要 安装 H3C iNode 客户 端 , 首 先 检 查 iNode 是 否定 制 了 
EAD 功能 ,然后 检查 当前 的 iNode 客户 端 是 否 支持 补丁 检查 相关 功能 。 

具体 排查 方法 如 下 。 

H3C iNode 包含 iNode PC 和 iNode DC 两 种 。 

O 查看 iNode PC 是 否定 制 了 EAD 功能: 单 击 iNode 菜单 “信息 ”一 “主机 和 网 络 相 关 信 
息 ” 命 令 , 打 开 如 图 8-368 所 示 对 话 框 ,查看 “客户 端 信息 ”标签 ,是 否 支 持 EAD, 

© iNode DC 即 可 溶解 客户 端 ,是 iNode PC 的 一 个 子 集 ,在 Portal 认证 场景 ,如 果 未 安装 
iNode PC, 但 是 要 实施 EAD, 则 需要 安装 部 署 可 溶解 客户 端 ,iNode DC 必须 先 在 iMC 服务 器 
侧 安 装 部 署 成 功 后 才能 使 用 ,如 图 8-369 所 示 。 

另外 ,查看 iNode 的 版 本 说 明 书 ,仔细 阅读 关于 补丁 检查 的 限制 和 注意 事项 。 

(7) PC 和 策略 服务 器 连通 性 检查 

在 开启 策略 服务 器 场景 ,即使 没有 做 安全 检查 ,也 需要 确保 终端 PC 和 策略 服务 器 能 正常 
双向 通信 ,和 否则 ,身份 认证 成 功 后 会 下 线 ,其 采用 UDP 协议 进行 通讯 ,策略 服务 器 使 用 固定 
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主机 和 网 络 想 关 信息 
网 卡 _ | 路 由 

版 本 : iNode PC 7.0 (E0101) 

功能 和 协议 组 件 
IBERE = 
桌面 资产 管理 = 
802. lx 协议 是 
Pertal 协 议 是 
L2TP IPsec VPN = 
无 线 协议 是 


C we )( má ) 


图 8-368 “客户 端 信息 ”标签 


智能 管理 中 心 - 无 线 北 务 管理 对 i 了 系统 中 的 无 线 北 务 进 行 管理 。 iNC WSM 5.1 (E0302H02) 
分 支 网 点 管理 - 分 支 网 点 管理 对 网 络 中 的 TR-069 设 备 进行 管理 > iMC BINS 5.1 SP1 (E0201P02) 
分 支 网 点 管理 - 自动 配置 服务 器 与 网 络 中 的 TR-089 设 备 进行 交互 ， 支 ,. iMC BINS 5.1 SP1 (E0201P02) 
分 支 网 点 管理 - 自动 配置 服务 器 与 网 络 中 的 TR-089 设 备 进行 交互 ， 支 ,, ，_iC BINS 5.1 (£0201) 
用 户 接 入 管理 - Port 服务 器 提供 Fortal 认 证 功能 。 iNC UAM 5, 1 (E0301) 
iliode 可 演 解 客户 满 提供 可 深 解 客户 淡 的 功能 。 iNode DC 5.1 (E0501) 
maren aema e a itic TRN S 1 (E0301) 
Ë GE $ iMC TRN 5.1 (0301) 部 主 服务 器 
r == ARTERE: iNode DC 5.1 (E0301) 已 部 署 主 最 务 器 


jena aata] 
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(默认 为 9019) 端 口 监听 客户 端 消息 ,iNode 客户 端 也 从 固定 监听 端口 (从 10102 开始 递增 的 第 
一 个 空闲 端口 ) 发 送 和 接受 报 文 。 如 果 中 间 有 防火 墙 , 需 要 放 通 UDP 协议 报 文 。 对 于 没有 禁 
ping 的 环境 ,从 iMC 服务 器 上 ping 终端 PC 的 IP。 

对 于 禁 ping 的 环境 ,有 两 种 方法 确定 PC 和 策略 服务 器 的 连通 性 。 

D 可 以 在 策略 服务 器 和 终端 PC 侧 同时 抓 包 确定 是 否 能 正常 通信 ,如 图 8-370 所 示 。 


192.168.. 
1579 89.067398 172. 16.100.122 


1，src Addr: 192 168 133 2 (1s 


Addr : 172.16.100.122 (172.16.100.122) 


Destination port: 9019 (9019) 
Length: 142 

Checksum: 0x4b26 (correct) 
Data (134 bytes) 


图 8-370 ”确定 是 否 正常 通信 
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说 明 : 如 图 8-370 所 示 ,192. 168. 133. 2 为 终端 PC 的 IP,172. 16. 100. 122 为 策略 服务 器 
的 IP, 在 服务 器 和 PC 侧 同 时 抓 包 可 以 看 到 其 UDP 报 文 的 详细 交互 过 程 。 

© 通过 iNode 和 策略 服务 器 的 日 志 确 定 。 

iNode 的 Detail 日 志文 件 secpkt. txt 如 下 。 


[2012-02-10 10:42:26] [DtlCmn] [674] secPushInner: out-pkt [1] // 安 全 认证 请 求 报 文 
<i n="userName">szhl@iMC</i> 

<in="hwAddr">18:A9:05:DF:D4:0E</i> 

<in="eventSeqID">JOvPBgcC</i> 

[2012-02-10 10:42:27] [DtICmn] [1ba0] sndSecMsg: transfer [2] [11260] // 安 全 认证 回应 报 文 
<i n="heartBeatInterval">720</i> 

<i n="heartBeatOutTimes">3 </i> 


策略 服务 器 调试 日 志 如 下 。 


2012-02-10 08:57:38 [策略 服务 器 ] [信息 (0)] [24] [ProxyRequestHandler: :run] szhl1@iMC ; EAD| 
认证 上 线 请 求 报 文 (1) ; kNIXeLUQ ; 18:A9:05:DF:D4:0E ; 192.168.133.2;... 文 解析 成 功 

// 认 证 上 线 请 求 报 文 
2012-02-10 08:57:38 [策略 服务 器 ] [信息 (0)] [15] [RequestProcessor: :processRequest] szh1@iMC 
; EAD 认证 上 线 回应 报 文 (2) ; kNIXeLUQ ; 18:A9:05:DF:D4:0E ; 192.168.133.2 ; ... 

// 认 证 上 线 回 应 报 文 


说 明 : 如 上 的 iNode 日 志 级 别 需 要 设置 为 Detail 才能 看 到 具体 的 交互 报 文 (日 志 存 放 路 
径 ; C\Program Files\H3C\iNode Client\CollectInfo\ * ), 同 理 ,策略 服务 器 日 志 级 别 也 需要 
设置 调试 才能 看 到 和 iNode 的 详细 报 文 交互 (日 志 存 放 路 径 : MC 安装 目录 \ead\logs\ 
policyserver_ xxxXx -xx* -xx ); 关于 日 志 级 别 的 设置 方法 请 参考 其 他 文档 。 

(8) PC 和 WSUS 补丁 服务 器 的 连通 性 排查 

对 于 没有 禁 ping 的 环境 ,从 终端 PC 直接 ping 补丁 服务 器 ,对 于 禁 ping 的 环境 ,如 果 
iNode 客户 端 EAD 认证 时 提示 “补丁 检查 失败 ”, 可 查看 终端 PC 的 C:\Windows 目录 下 的 
Windows Update 日 志文 件 , 根 据 日 志文 件 提示 信息 的 错误 码 , 然 后 再 上 微软 的 网 站 http:// 
support. microsoft. com 或 其 他 网 址 查找 “0x80072EFD” 这 个 错误 码 的 含义 以 及 解决 方法 。 

日 志 提示 信息 : 2013-05-2908:53:28:143 908e48Agent xxxxxxxxxxxxx 2013-05-2908:53: 
28:143 908e48AgentWARNING : WU client failed Searching for update with error 0x80072efd 微 
软 官网 问题 原因 :“ 如 果 在 检查 更 新 时 收 到 Windows Update 错误 80072efd, 可 能 是 因为 计算 
机 与 Windows Update 服务 器 之 间 的 连接 中 断 引起 的 。” 

解决 方法 : 关闭 Windows Update, ff 10 一 15 分 钟 ,然后 再 次 运行 Windows Update, 
你 也 可 以 等 待 Windows Update 在 其 下 次 计划 时 间 和 运行。 具体 操作 步骤 : @ 单 击 此 按钮 : 
医 Bg 。@ 在 “文件 下 载 " 对 话 框 中 , 单 击 “ 运 行 ” 按 钮 ,然后 执行 向 导 中 的 步骤 。@ 打开 
Windows Update, 尝 试 再 次 安装 更 新 。 如 果 仍 然 收 到 此 错误 ,这 可 能 意味 着 你 的 计算 机 中 所 
运行 的 某 个 程序 阻止 了 Windows Update 服务 (SVCHOST) 访 问 Internet。 这 样 的 程序 包括 
防火 墙 \ 反 间谍 软件 .Web 加 速 器 、Internet 安全 或 防 病毒 程序 以 及 代理 服务 器 。 若 要 解决 该 
问题 ,可 能 需要 将 Windows Update 网 站 地 址 添加 到 阻止 程序 的 例外 列表 或 允许 列表 ,或 者 允 
许 Windows Update 服务 通过 端口 80 和 端口 443 连接 到 Internet。 将 Windows Update 网 站 
添加 到 防火 墙 例外 列表 Windows 防火 墙 是 该 版 本 Windows 附带 的 防火 墙 ,其 例外 列表 中 应 
当 已 包括 这 些 站 点 。 如 果 使 用 其 他 防火 墙 ,请 参阅 软件 发 布 者 的 文档 ,查看 如 何 将 这 些 网 站 添加 
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到 防火 墙 例外 列表 中 。 

(9) 身份 认证 测试 

身份 认证 成 功 后 才 会 发 起 安全 认证 ,在 EAD 安全 认证 前 ,必须 确保 能 身份 认证 成 功 ,如 
图 8-371 所 示 。 


REV language PD 


Lu 131 z 
o saame 2013-07-08 10:49:03 开始 进行 身份 证 [x09910] “< 
— 。 (201207-0 10:49:01 Fü tümega, 

= 2013-07-08 10:49:05 您 的 身份 验证 成 功 
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如 果 身 份 认证 失败 ,请 参考 身份 认证 相关 云图 。 

(10) 接 入 设备 配置 排查 

如 果 身 份 认证 成 功 后 , 却 一 直 未 触发 安全 认证 ,这 里 就 需 分 两 种 情况 讨论 。 

O 如 果 接 入 设备 是 H3C 类 型 ,在 Portal 十 EAD 场景 , 则 设备 侧 的 Radius Scheme 方案 里 
的 Server-type 配置 Extended| Standard 都 可 以 。 在 Dotl1x 十 EAD 场景 , 则 Radius Scheme 方 
案 里 的 Server-type 可 以 配置 Standard, 但 是 Dotlx Authencation-method 必须 配置 为 EAP 才 
能 触发 EAD 认证 ,但 是 无 法 给 设备 下 发 ACL 和 VLAN 进行 授权 ,如 果 ACL 下 发 给 iNode 不 
受 影响 , 故 接 入 设备 是 H3C 类 型 ,在 EAD 开局 中 ,建议 将 Radius Scheme 的 Server-type 配置 
为 Extended。 

@ 如 果 接 入 设备 是 第 三 方 厂 商 , 由 于 不 支持 Portal 认证 ,在 802. 1x 认证 场景 
Authentication-method 必须 配置 为 EAP 方式 ,否则 不 会 触发 安全 认证 。H3C 设备 配置 方法 
如 图 8-372 所 示 。 


adius scheme test 

server-type extended 

[yurj-121-Cöre jdotix authentication-method eap 
EAP authentication is enabled 


8-372 H3C 设备 配置 方法 


说 明 : 结合 第 三 方 设备 实施 EAD 解决 方案 ,Dotlx 十 EAD 场景 ,Dotlx authentication- 
method 必须 配置 为 EAP, 如 果 是 L2TP VPN 十 EAD, 则 接 入 设备 必须 为 H3C 设备 ,因为 第 三 
方 设 备 的 Radius Scheme 不 支持 Extended. E VPN 认证 方式 不 支持 EAP, 故 不 支持 EAD。 


Wode pc JZ. P iip 


终 详 Pc 科 本 


自动 更 新 升 关 检查 


400-910-0504 Z J: E SY) 
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TOS Esa EE. 8.1.31 EAD 防 病毒 软 
oa vc seatt TDN 
1. 开始 


EAD 防 病毒 软件 管理 可 以 将 不 符合 安全 要 求 的 终端 踢 下 线 或 限制 在 “隔离 区 ”内 ,防止 
“危险 ?终端 对 网 络 安全 的 损害 ,避免 “ 易 感 "终端 受 病毒 .蠕虫 的 攻击 。 

EAD 防 病毒 软件 管理 排 错 思 路 : 身份 认证 之 后 才 会 触发 安全 认证 ,关于 身份 认证 失败 的 
排查 思路 可 以 参考 具体 的 认证 类 云图 ,在 此 不 再 叙述 。 

首先 检查 服务 器 软 硬 件 及 性 能 是 否 满足 当前 认证 需要 ,然后 从 iNode PC 和 iNode DC 两 
种 客户 端 认证 场景 进行 分 析 , 相 应 做 iMC 服务 器 运行 状态 的 检查 ,安全 策略 配置 检查 ,终端 防 
病毒 软件 安装 情况 检查 ,最 后 对 iNode 支持 的 防 病毒 软件 版 本 进行 确认 o 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

需要 对 照 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ), 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 , 请 严格 执行 。 

D 对 照 (智能 管理 中 心 iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认 证 数量 大 、Portal 网 页 在 线 数量 多 , 需 考虑 是 否 根 据 ( 智 能 管理 中 心 (iMC) 部 
署 和 硬件 配置 方案 ?要求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 ,重点 需要 检查 内 存 占 用 是 
否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 》 计 算出 的 要 求 ,操作 系 
统 和 数据 库 是 否 为 64 位 ,建议 使 用 64 位 系统 。 

© 单 击 “ 开 始 ” 一 “智能 部 署 监控 代理 命令, 选择" 部署" 标签 ,检查 “EAD 安全 策略 管理 ” 
各 组 件 是 否 已 部 署 的 状态 ,具体 如 图 8-373 所 示 ,关于 “用 户 接 人 管理 ?组件 的 检查 方式 ,请 参 
考 认 证 类 云图 。 


绩 智能 部 署 监 控 代 理 Mm E 
#m| 进程 部署 | 运行 生境 | 


AMRES SERENE.. iC NTA 5.2 (E0401) 

提供 对 多 种 用 户 行为 日 去 的 等 埋 功能 -iDC VBA 5.2 (E0401) 
O manquum - RRETA 8365 F e $ EU SE 08360)... iMC SEN 5.2 (E0401) 
I 用 户 杰 人 各 埋 - npa pm 提供 对 内 和 用户、 楼 入 业务 的 配 慎 .. 。 iNC VAN 5.2 (E0402P05) 
D mika e - Portal 用 务 吕 雏 供 Portal 认 证 功能 。 iC VAN 5.2 (E0402P05) 

提供 BYOD 的 功能 - iMC VAN 5.2 (E0402P05) 


提供 交 全 认证 的 功能 iMC VAN 5.2 (E0402P05) 


提供 村 记 全 认证 恨 文 的 儿 发 功能 - ANC VAN 5.2 (E0402P05) 
提供 用 户 资料 的 自助 查询 和 维护 的 .. 。 iNC VAN 5.2 (E0402P05) 
M08676 Am EZH... iNC VAN 5.2 (E0402) 
MEADE 5 PCE ARE- 
- 提供 村 条 面 资 产业 务 的 配置 和 用 户 ...。 iDIC EAD 5.2 (E0402P05) 
P Fitim - TEATER.. ERALDA ESRR. iNC EAD 5.2 (E0402P05) 


图 8-373 组 件 部 署 状 态 


HA: EAD 安全 策略 管理 一 桌面 资产 管理 和 EAD 安全 策略 管理 一 桌面 资产 管理 代理 服 
务 器 是 桌面 资产 (DAM) 管 理 的 功能 组 件 ,在 EAD 解决 方案 中 可 以 不 部 署 。 
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(2) iMC 服务 器 运行 情况 检查 

要 顺利 实施 EAD 解决 方案 ,除了 确保 UAM 相关 进程 运行 正常 外 ,还 要 检查 策略 服务 器 
对 应 的 进程 是 否 运行 正常 ,及 进程 绑 定 的 端口 是 否 正常 ,具体 可 从 如 下 两 方面 检查 。 

(69) “开始 ”一 “智能 部 署 监控 代理 ?命令 ,选择 “进程 ?标签 ,查看 EAD 的 核心 进程 
policyserver 是 否 正常 启动 ,具体 如 图 8-374 所 示 。 


G 智能 部 署 监 控 代理 AEE 
监控 进程 | 部署 | enra] 
进程 ks k: 3 CPV(%) | 内 存 CD) 自动 时 间 类 型 向 动 模 武 

© ime. eze CEE] 本 机 0 7, 040 2013-06-28 08:50:33 按 心 进程 自动 = 
© processor. ere CETE] 本 机 0 73,684 2013-06-28 08:50:44 TERA 。 自动 

© receiver. eze erag 本 机 0 33,180 2013-06-28 08:50:44 MESRA 。 自动 

© tan. eze PTY 相机 ° 13, 312 2013-06-28 08:50:41 MERLE 自动 

Ü tttpserer eze ERAH 本 机 n a:50:23 MERER 。 自动 

O was erah + ° YEITITEKTE 
r erea < ° 08:43:17 可 各 再 进程 Gh 

EW binsserver Bet +M ° ° 可 生理 进程 FH 

O danserver 已 给 启动 + O 312,620 2013-06-28 08:49:21 MEMAR 。 自动 

© dataanalrzer CELE] +f. 0 85, 728 2013-06-28 09:49:21 MEMAR 。 自动 

© wt Pene 本 机 ° 338, 548 2013-06-28 08:49:21 MEMAR GH 

© unbaserver eraj 本 机 n 127, 544 2013-06-28 08:49:21 可 智 珊 进程 。 自动 

© jserver eaS +N 0.12 3,490,692 2013-06-28 08:49:21 MEMAR GH 

© portalserver LLULLU 本 机 0 327, 872 2013-06-28 08:49:21 可 每 观 进程 H 

O webserviceodel BRAS 本 机 0 306, 548 2013-06-28 08:49:21 MEMA 。 自动 

O webservicelodez BRAH 本 机 ° 308,600 2013-06-28 08:49:21 MERER 。 自动 

© -abserver GELE] 本 机 0 336, 552 2013-06-28 08:49:21 MEVRA 。 自动 

p J O 329,116 2013-06-28 08:49:21 MERA GH 

(Q ansprozz =a 0 310, 372 2013-06-28 08:49:21 MEMEA 自动 


© policrserrer CRAS 自动 5 


图 8-374 进程 启动 情况 


说 明 : 一 般 情 况 下 ,这些 进 程 通过 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 
@ 检查 策略 服务 器 对 应 的 监听 端口 UDP 9019, UDP 9017 是 否 正 常 绑 定 ,如 图 8-375 
所 示 。 


图 8-375 各 端口 正常 绑 定 情况 


说 明 1: 如 图 8-375 所 示 ,9019 端口 号 必须 同时 绑 定 两 个 IP ,分别 是 127.0.0.1 和 实际 网 
卡 IP:172. 16. 100. 122 ,而 9017 端口 只 需 绑 定 实际 网 卡 IP 即 可 ,如 图 8-376 所 示 。 

说 明 2: Windows 操作 系统 中 ,通过 命令 netstat -aon |findstr 端口 号 来 显示 某 端 口 的 监 
听 状 态 以 及 对 应 的 进程 PID, 举 例 , 对 应 提示 符 回 显 如 图 8-377 所 示 。 

其 中 第 一 列 UDP 监听 的 协议 ; 第 二 列 172. 16. 100. 122: 9017 所 指 监 听 的 服务 器 的 IP 和 
端口 号 ; $ =Z $] x. x 代表 监听 状态 ; 最 后 一 列 6520 代表 此 协议 监听 的 进程 PID, 根 据 此 
PID ,对照 Windows 任务 管理 器 , 即 可 确定 该 端口 绑 定 的 具体 服务 。 


Er: MC 管理 软件 1147 


S Ttindors 任务 管理 器 ME 
文件 四 选项 @) SEV HHW 


应 用 程序 进程 | 性 能 | 联网 | 用 户 | 


RHES: 146 [cru 使 用 : 30% 内 存 使 用 : 143528 / 32141 Z 
8-376 HEPA IP 


图 8-377 提示 符 回 显 


(3) EAD 配置 检查 
D 安全 策略 配置 检查 。 


要 实施 防 病毒 软件 管理 ,首先 必须 配置 防 病毒 软件 策略 ,比如 ,要 检查 “金山 毒霸 网 络 版 ”， 
则 必须 创建 一 个 策略 ,并 在 策略 中 色 选 检查 项 的 复 选 框 ,如 图 8-378 所 示 。 

用 t >> EADE em > itki kuma >> ADER > AAG | om 
r —rssn—xc ns. 
w 

asoa 

mit 
Windows E] 
2 记录- 
| 

#walpasspaeisxn: 30 

suwapas 全 pt dn F] ° g 


图 8-378 配置 防 病毒 软件 策略 


然后 创建 安全 策略 ,并 在 安全 策略 中 将 创建 的 防 病毒 软件 策略 和 安全 级 别 绑 定 ,然后 在 
“服务 ”里 绑 定 “安全 策略 ”, 最 终 , 接 入 账号 和 服务 进行 绑 定 ,总 之 ,只 有 账号 绑 定 了 正确 的 “ 服 
务 ”,“ 服 务 " 绑 定 了 正确 的 “安全 策略 ”“ 安 全 策略 ” 绑 定 了 正确 的 “安全 级 别 " 和 “ 防 病毒 软件 策 
略 ”, 才 会 进行 防 病毒 软件 的 检查 。 

检查 账号 是 否 配置 了 正确 的 安全 策略 最 直观 的 方法 。 

通过 接 人 账号 确定 其 绑 定 的 服务 ,然后 通过 服务 确定 其 绑 定 的 安全 策略 ,通过 安全 策略 确 
定 具体 的 防 病毒 策略 和 安全 级 别 ,安全 级 别 是 下 线 、 隔 离 、 提 醒 , 还 是 监控 ,下 发 的 ACL, 
VLAN 配置 是 否 正确 等 ,如 图 8-379 .图 8-380 所 示 。 

-个 防 病毒 软件 策略 ,同时 色 选 了 多 个 防 病毒 软件 ,如 图 8-381 所 示 , 同 时 色 选 了 “360 T: 
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士 " 和 “360MobileSafe”, 则 会 按照 优先 级 由 高 往 低 顺序 进行 检查 ,在 检查 过 程 中 ,只 要 检测 到 
不 满足 的 防 病毒 软件 ,会 立即 终止 检查 , 即 安全 检查 不 通过 ,也 就 是 说 ,安全 认证 失败 场景 ， 


iNode 侧 的 认证 信息 可 能 不 会 回 显 所 有 已 
实际 要 求 勾 选 对 应 的 防 病毒 软件 检查 项 。 


装 的 安全 软件 , 故 在 配置 防 病毒 软件 策略 时 ,必须 按 


uros)... 


sana 
nass J| meen nma HEPRE 


2019734 ER g. 


账号 名 ead 

允许 用 户 修改 密码 是 

开户 日 期 2013-07-31 
RETANA 2013-07-31 


8-379 直观 方法 


W us > awewe > 安全 征明 管理 > sarene 


安全 第 睁 名 wind 
安全 级 别 FEER 
站 进行 实时 监控 

温 游 缺 省 安全 莱克 = 

mE 

安全 检查 合格 提示 


站 务 分 组 未 分 组 


Rama tm 
0 RESNE 
向 设备 下 发 ACL 
通用 ACL 去 全 ACL 3001 
HP ProCurve ACL 安全 ACL 


图 8-381 


防 病毒 软件 设置 窗口 


E> iMC 管理 软件 1149 


说 明 : iNode 检查 终端 PC 有 没有 安装 某 安 全 软件 ,只 查看 PC 侧 “ 印 载 或 更 改 程序 ”已 安 
装 软件 的 名 称 和 EAD 服务 器 侧 “ 防 病毒 软件 ”的 名 称 是 否 一 致 ,如 果 不 一 致 ,即使 终端 PC 安 
装 了 安全 软件 ,EAD 服务 器 也 会 提示 没有 安装 所 要 求 的 防 病毒 软件 。 

© 防 病毒 软件 名 称 一 致 性 检查 。 

EAD 可 以 检查 终端 PC 是 否 安装 所 要 求 的 安全 软件 .以 及 具体 的 程序 版 本 号 ,病毒 库 版 
本 号 以 及 引擎 版 本 ,在 身份 认证 成 功 后 ,如 果 提 示 未 安装 要 求 的 安全 软件 ,请 检查 终端 PC 是 
否 有 正常 安装 好 相关 安全 软件 ,如 果 安 装 成 功 , 则 检查 终端 PC 侧 * 控 制 面 板 ”* 务 载 或 更 改 
程序 ”中 已 安装 软件 的 名 称 和 iMC 服务 器 侧 配置 项 : 单 击 “ 业 务 ”>“EAD 安全 软件 ”>“ 终 端 
安全 软件 策略 管理 ”>“ 防 病毒 软件 策略 管理 ”一 “修改 防 病毒 软件 策略 ”一 “ 防 病 毒 软 件 设 
置 ?命令 后 的 名 称 是 否 一 致 ,如 果 不 一 致 ,请 修改 和 终端 PC 一致 即 可 ,如 图 8-382、 图 8-383 
所 示 。 


若 要 知 载 程序 ,请 从 列表 中 将 其 远 中 ， 然 后 单 去 “加 裁 ” “更改 ”或 “修复 ”。 


= 


Er 发 布 者 安装 时 间 
回 StarKey220.US8 (0) 2013/5/12 
— Endpoint Protection Symantec Corporation 2012/5/11 


8-382 #3W PC“ ARER H M FPF” O AA Bia WE 3k fF4⁄4 PK 


网 检查 杀毒 引擎 乒 本 


图 8-383 ” 防 病毒 软件 设置 窗口 


@ 授权 配置 检查 。 

当 终端 不 满足 安全 策略 时 ,会 将 该 用 户 下 线 或 放 到 隔离 区 ,而 隔离 区 的 构造 通常 通过 下 发 
ACL 或 VLAN 实现 ,在 使 用 ACL 或 VLAN 进行 授权 场景 ,需要 确保 下 发 后 终端 PC 和 策略 
服务 器 能 正常 通信 。 

例如 : 终端 PC: 192. 168. 100. 1 ,策略 服务 器 : 172. 16. 100. 200, 如 果 使 用 ACL 进行 授 
权 , 则 设备 侧 的 ACL 配置 中 必须 有 放 通 源 IP:192. 168. 100. 1, 目 的 IP:172. 16. 100. 200 的 
rule, 如 图 8-384 所 示 。 


rule Ø permit ip source 192.168.100.1 @ destination 172.16.100.200 ð 


rule 1 deny ip 
图 8-384 终端 PC 


如 果 ACL 是 下 发 给 iNode 客户 端 ,服务 器 侧 的 客户 端 ACL 配置 中 也 必须 有 放 通 目 IP 为 
策略 服务 器 172. 16. 100. 200 的 规则 ,如 图 8-385 所 示 。 

说 明 : EAD 构造 隔离 区 有 下 发 ACL 和 VLAN 两 种 ,而 ACL 可 以 下 发 给 设备 ,也 可 以 下 
发 给 iNode 客户 端 ,VLAN 只 能 下 发 给 设备 ,向 接 入 设备 下 发 接 入 用 户 所 使 用 的 VLAN, 可 以 
下 发 VLAN ID, 也 可 以 下 发 VLAN NAME, 如 果 下 发 VLAN ID, 则 VLAN ID 必须 在 1~4094 之 
间 , 如 果 接 入 设备 上 不 存在 此 VLAN ID, 则 会 自动 创建 ,如 果 下 发 VLAN NAME, 接 入 设备 
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上 必须 预先 创建 此 VLAN NAME, € ñj F 22 66 VLAN 无 效 。 如 果 ACL 下 发 给 设备 , 则 必须 
预先 在 设备 侧 配置 好 ACL, 如 果 ACL 下 发 给 iNode 客 户 端 , 则 ACL 规则 需要 在 iMC 服务 器 


侧 配 置 ,并 且 iNode 需要 定制 客户 端 ACL 功能 ,如 图 8-386 所 示 。 


动作 C 
协议 所 有 IF 协议 党 
目的 IP 地 址 172.16.100200 
摘 码 255.255.255.255 e 
目的 庙 品 Ë | 


mo b ] 


8-385 ”策略 服务 器 规则 


“sapo asnasqa wawa 


ede 客户 并 提供 以 下 可 选 功能 ， 允 许 定制 是 否 记 用。 
国 | 下 


加 连接 重 命名 ， 
D 启用 丰 法 AEP 报 文 过 涉 ， 防 止 ME 攻击 。 
B 启用 非法 DCP 报 文 过 小 ， 防止 IMC? 到 击 。 


图 8-386 ”高 级 定制 
(4) 终端 PC 防 病毒 软件 安装 情况 检查 


EAD 防 病 毒 管理 可 以 检测 终端 PC, 包 括 Windows, Linux, Mac OS, 以 及 智能 终端 
Android 是 否 安装 满足 的 安全 软件 ,包括 软件 版 本 ,引擎 版 本 , 故 终端 PC 必须 安装 满足 安全 策 
略 要 求 的 防 病毒 软件 及 甚 版本。 查看 终端 防 病毒 软件 的 安装 情况 以 及 版 本 方法 : 单 击 “ 控 制 
面板 ”程序 ”程序 和 功能 ”命令 查看 已 安装 的 防 病毒 软件 版 本 ,也 可 直接 打开 终端 PC 安 


装 的 防 病毒 软件 查看 程序 版 本 和 病毒 库 版 本 ,如 图 8-387 所 示 o 
| 
CAREDNS 45 SEESE + 
2a 


程序 版 本 40.0.4033 SESAR 2013-05-17 neser 


8-387 程序 版 本 及 病毒 库 版 本 


EG: MC 管理 软件 Ls 


说 明 : 并 不 是 所 有 防 病毒 软件 都 有 引擎 版 本 ,比如 ; 360 杀毒 软件 就 没有 引擎 版 本 。 针 对 
有 引擎 版 本 的 防 病毒 软件 从 程序 界面 也 看 不 到 ,需要 借助 Node 客户 端 获取 ,iNode 客户 端 会 
发 起 EAD 请 求 报 文 进行 安全 认证 ,iNode 客户 端的 认证 信息 会 显示 获取 到 的 防 病 毒 软件 的 病 
毒 库 版 本 ,引擎 版 本 以 及 程序 版 本 。 

(5) iNode 定制 功能 和 支持 列表 检查 

如 果 需 要 做 EAD, 终 端 PC 必须 要 安装 H3C iNode 客户 端 ,H3C iNode 包含 iNode PC 和 
iNode DC 两 种 。 

O 查看 iNode PC 是 否定 制 了 EAD 功能: 单 击 iNode 菜单 “信息 ”>“ 主 机 和 网 络 相关 信 
息 ” 命 令 后 有 如 图 8-388 所 示 对 话 框 ,查看 “客户 端 信息 ”标签 ,是 否 支持 EAD, 


主机 和 网 络 相 关 信息 [> 
ES EARS 


版 本 iNode PC 7.0 (0101) 
功能 和 协议 组 件 


HERF 


IBERE 
桌面 资产 管理 
802. lx 协议 
Port libi 
L2TP IPsec VPN 
无 线 协 议 


ña DX Ña Ha DY D3 Dia 


[C wë )( ma ) 


8-388 “客户 端 信息 ”标签 


© iNode DC 即 可 溶解 客户 端 ,是 iNode PC 的 一 个 子 集 ,在 Portal 认证 场景 ,如 果 未 安装 
iNode PC, 但 是 要 实施 EAD, 则 需要 安装 部 署 可 溶解 客户 端 ,iNode DC 必须 先 在 iMC 服务 器 
侧 安 装 部 署 成 功 后 才能 使 用 ,如 图 8-389 所 示 。 


刀 智能 部 署 监控 代理 


智能 管理 中 心 - 无 线 北 务 管理 对 ic 系统 中 的 无 线 业 务 进行 管理 * ic YSM S.1 (E0302MD2) 
分 支 网 点 管理 - 分 支 网 点 管理 对 网 络 中 的 TR-069 设 备 进行 管理 。 illC BINS 5.1 SP1 (E0201F02) 
分 支 网 点 管理 - 自动 配置 服务 器 与 网 络 中 的 TR-069 设 备 进行 交互 ， 支 ,. NC BINS 5.1 SP1 (E0201F02) 
分 支 网 点 管理 - 自动 配置 服务 器 与 网 络 中 的 TR-069 设 备 进行 交互, 支 ..， iMC BINS 5.1 (E0201) 

用 户 接 入 管理 - Fort 服务 器 提供 Pertal 认 证 功能 * itc VAN 5.1 (E0301) 

iod EDERREAN RETRATAR. iWode DC 5.1 (E0301) 

可 信 移动 介质 管理 组 件 Te aa ic TR 5.1 (E0301) 

可 信 移动 介质 代理 管理 组 件 il 


图 8-389 iMC 服务 器 侧 安装 部 署 成 功 


(6) PC 和 策略 服务 器 连通 性 检查 

在 开启 策略 服务 器 场景 ,即使 没有 做 安全 检查 ,也 需要 确保 终端 PC 和 策略 服务 器 能 正常 
双向 通信 ,否则 ,身份 认证 成 功 后 会 下 线 , 其 采用 UDP 协议 进行 通讯 ,策略 服务 器 使 用 固定 
(默认 为 9019) 端 口 监 听 客 户 端 消息 ,iNode 客户 端 也 从 固定 监听 端口 (从 10102 开始 递增 的 第 
一 个 空闲 端口 ) 发 送 和 接受 报 文 。 如 果 中 间 有 防火 墙 ,需要 放 通 UDP 协议 报 文 。 对 于 没有 禁 
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ping 的 环境 ,从 iMC 服务 器 上 ping 终端 PC 的 IP。 
对 于 禁 ping 的 环境 ,有 以 下 两 种 方法 确定 PC 和 策略 服务 器 的 连通 性 。 
D 可 以 在 策略 服务 器 和 终端 PC 侧 同时 抓 包 确定 是 否 能 正常 通信 ,如 图 8-390 所 示 。 


|| Emer: [ip adar==192 168 1332 > Expression Clear Apply 


ion port: 10102 
Desrinarion port: 19019 
Destination port: 10102 


Destination port: 9019 (9019) 
Length: 142 
Checksum: 0x4b26 (correct) 
Data (134 bytes) 


8-390” 抓 包 确定 正常 通信 


说 明 : 如 图 8-390 所 示 ,192. 168. 133. 2 为 终端 PC 的 IP,172. 16. 100. 122 为 策略 服务 器 
的 IP, 在 服务 器 和 PC 侧 同 时 抓 包 可 以 看 到 其 UDP 报 文 的 详细 交互 过 程 。 

@ 通过 iNode 和 策略 服务 器 的 日 志 确 定 ， 

iNode 的 Detail 日 志文 件 secpkt. txt 如 下 。 


[2012-02-10 10:42:26] [DtICmn] [674] secPushInner: out-pkt [1] // 安 全 认证 请 求 报 文 
<i n="userName">szhl@iMC</i> 

<in="hwAddr">18: A9 :05:DF:D4:0E</i> 

<in= "eventSeqID">JOvPBgcC</i> 

[2012-02-10 10:42:27] [DtICmn] [1ba0] sndSecMsg: transfer [2] [11260]  ”// 安 全 认证 回应 报 文 
<i n="heartBeatInterval">720</i> 

<i n="heartBeatOutTimes">3 </i> 


策略 服务 器 调试 日 志 如 下 。 


2012-02-10 08:57:38 [策略 服务 器 ] [信息 (0)] [24] [ProxyRequestHandler: :run] szh1@iMC ; EAD| 
认证 上 线 请 求 报 文 (1) ; kNIXeLUQ ; 18:A9:05:DF:D4:0E ; 192.168.133.2;... 文 解析 成 功 

// 认 证 上 线 请 求 报 文 
2012-02-10 08:57:38 [策略 服务 器 ] [信息 (0)] [15] [RequestProcessor::processRequest] szhl1@iMC 
; EAD 认证 上 线 回应 报 文 (2) ; kNIXeLUQ ;18:A9:05:DF:D4:0E;192.168.133.2;... 

// 认 证 上 线 回应 报 文 


说 明 : 如 上 的 iNode 日 志 级 别 需要 设置 为 Detail 才能 看 到 具体 的 交互 报 文 (日 志 存 放 路 
径 ; C\ Program Files\H3C\iNode Client\CollectInfo\ * ) , 同 理 , 策 略 服务 器 日 志 级 别 也 需要 
设置 调试 才能 看 到 和 iNode 的 详细 报 文 交 互 ( 日 志 存 放 路 径 : iMC 安装 目录 \ead\logs\ 
policyserver_ xxxx - **x-**x ); 关于 日志 级 别 的 设置 方法 请 参考 其 他 文档 。 

(7) 身份 认证 测试 

身份 认证 成 功 后 才 会 发 起 安全 认证 ,在 EAD 安全 认证 前 ,必须 确保 能 身份 认证 成 功 ,如 
图 8-391 所 示 。 

如 果 身 份 认证 失败 ,请 参考 身份 认证 相关 云图 。 


E> iMC 管理 软件 1153 


D SEQ) language) AREND 


o mm 2013-07-08 10:49:03 开始 进行 身份 科 证 “，[s09910] ` 
— 。 |z 10:40:01 FG rtmesa 
一 一 2013-07-08 10:49:05 您 的 身份 验证 成 功 


8-391 身份 认证 测试 


(8) 接 入 设备 配置 排查 

如 果 身 份 认 证 成 功 后 , 却 一 直 未 触发 安全 认证 ,这 里 需 分 两 种 情况 讨论 。 

O 如 果 接 入 设备 是 H3C 类 型 ,在 Portal+EAD 场景 , 则 设备 侧 的 Radius Scheme 方案 里 
的 Server-type 配置 Extended|Standard 都 可 以 。 在 Dotlx 十 EAD 场景 , 则 Radius Scheme 方 
案 里 的 Server-type 可 以 配置 Standard, 但 是 Dotlx Authencation-method 必须 配置 为 EAP 才 
能 触发 EAD 认证 ,但 是 无 法 给 设备 下 发 ACL 和 VLAN 进行 授权 ,如 果 ACL 下 发 给 iNode 不 
受 影响 , 故 , 接 入 设备 是 H3C 类 型 ,在 EAD 开局 中 ,建议 将 Radius Scheme 的 Server-type 配 
置 为 Extended。 

@ 如 果 接 入 设备 是 第 三 方 厂商 , 由 于 不 支持 Portal 认证 ,在 802.1x 认证 场景 
Authentication-method 必须 配置 为 EAP 方式 ,否则 不 会 触发 安全 认证 。H3C 设备 配置 方法 
如 图 8-392 所 示 。 


adius scheme test 

server-type extended 

[ywrj-121-C9re Jdotix authentication-method eap 
EAP authentication is enabled 
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说 明 : 结合 第 三 方 设备 实施 EAD 解决 方案 ,Dotlx 十 EAD 场景 ,Dotlx authentication- 
method 必须 配置 为 EAP, 如 果 是 L2TP VPN 十 EAD, 则 接 入 设备 必须 为 H3C 设备 ,因为 第 三 
方 设备 的 Radius Scheme 不 支持 Extended. E. VPN 认证 方式 不 支持 EAP, 故 不 支持 EAD。 
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1. 开始 

WSM 资源 管理 整合 了 无 线 设 备 基 础 资源 管理 的 各 项 功能 ,包括 AC、AP 以 及 终端 用 户 的 
状态 .资源 管理 ,基于 AP 和 客户 端的 无 线 定位 ,无 线 入 侵 检测 及 防护 ,频谱 防护 等 。WSM 需 
要 与 设备 侧 进 行 很 好 的 配合 ,完成 上 述 各 业务 及 功能 的 管理 ,检测 以 及 展示 。 

此 流程 简洁 地 描绘 了 使 用 WSM 资源 管理 过 程 中 可 能 会 遇 到 的 问题 以 及 排查 思路 ,主要 
分 为 以 下 几 个 步 又: 首先 ,需要 对 MC 服务 器 以 及 iMC 的 安装 部 署 进行 合 规 检查 ,确保 安装 
环境 符合 规范 ; 其 次 ,需要 对 AC 以 及 AP 状态 的 检查 ,查看 AC 以 及 AP 是 否 可 以 正常 添加 
以 及 显示 ; 再 次 ,要 查看 所 购买 或 者 试用 的 WSM 的 业务 功能 授权 ,保证 现 有 的 License 满足 
需求 ; 最 后 ,对 WSM 各 业务 功能 的 检查 ,其 中 包括 无 线 定位 功能 的 检查 ,移动 终端 用 户 的 检 
查 以 及 节能 策略 的 检查 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 相关 检查 

在 使 用 WSM 前 ,需要 对 iMC 服务 器 的 部 署 情况 .运行 情况 以 及 相关 配置 等 做 一 个 完整 
的 ,规范 的 检查 ,确保 服务 器 符合 iMC 安装 指导 的 要 求 。 主 要 注意 以 下 几 点 。 

O 服务 器 是 否 符合 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ), 需 要 重点 检查 以 下 两 点 。 

(a) WSM 服务 器 是 否 符合 安装 以 及 运行 的 要 求 , 主 要 查看 服务 器 物理 内 存 以 及 cpu 的 占 
用 情况 。 

(b) 在 管理 AP 数目 较 多 的 大 规模 应 用 场景 下 ,WSM 服务 器 是 否 进行 了 合理 的 分 布 式 部 署 。 

@ 查看 WSM 以 及 前 台 Web 页 面 的 主 进程 是 否 正常 启动 ,如 图 8-393 所 示 。 
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说 明 : 

(a) imcwlandm. exe 以 及 imcwlanperfdm. exe 为 WSM 的 主 进程 ,只 要 正常 安装 部 署 了 
WSM 组 件 , 肯 定 会 有 以 上 两 个 进程 。 

(b) imcwipsdm. exe 为 WSM 中 WIPS 功能 的 进程 ,WIPS 需要 购买 单独 的 License( 包 括 
设备 上 的 License) ,注册 成 功 以 后 启动 1MC, 可 以 正常 看 见 此 进程 。 

(c) jserver 进程 为 iMC 前 台 Web 页 面 的 主 进程 , 若 要 正常 浏览 网 页 , 则 要 保证 它 正 常 启动 。 

O 查看 iMC 服务 器 与 AC 是 否 可 达 ,SNMP 参数 是 否 正 确 : 判断 是 否 可 达 只 要 在 iMC 
服务 器 ping AC 可 达 即 可 验证 ; 查验 SNMP 参数 配置 是 否 正 确 则 需要 对 比 设备 以 及 iMC 的 
相关 信息 ,在 设备 列表 中 单 击 “ 设 备 ” 标 签 , 进 入 设备 详细 信息 页 面 ,如 图 8-394 所 示 。 
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图 8-394 设备 详细 信息 页 面 
如 果 在 设备 以 及 iMC 上 正确 配置 了 只 读 团 体 字 ,那么 设备 详细 信息 页 面 的 数据 都 可 以 正 
常 显示 , 读 写 团体 字 需 要 通过 查看 设备 SNMP 的 具体 配置 以 及 iMC 侧 SNMP 参数 (模板 ) 的 
配置 来 确认 。 单 击 配置 中 的 “修改 SNMP 参数 ", 进 入 配置 页 面 后 ,由 于 读 写 团体 字 不 可 见 , 需 
要 手动 检查 .修改 SNMP 读 写 团体 字 并 与 设备 保持 一 致 ,如 图 8-395 所 示 。 
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在 保证 了 以 上 几 点 之 后 ,就 可 以 正常 使 用 WSM 资源 管理 功能 了 。 

(2) AC 及 AP 状态 检查 

进入 WSM 资源 管理 中 以 后 ,需要 检查 AC 以 及 AP 的 状态 ,正常 状况 下 ,添加 进 iMC 的 
AC 会 被 自动 识别 为 无 线 设备 并 添加 至 WSM 资源 管理 中 ,如 图 8-396 所 示 。 
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如 果 AC 已 经 按照 添加 设备 的 流程 增加 进 iMC 后 ,在 WSM 资源 管理 的 无 线 控制 器 里 却 
无 法 看 到 此 设备 ,可 以 按照 如 下 步 又 排查 : 首先 ,检查 iMC 以 及 AC 的 版 本 信息 ,确保 iMC 支 
持 此 AC( 可 以 查看 iMC 的 版 本 说 明 书 ); 然后 ,通过 添加 设备 或 同步 设备 时 的 抓 包 检查 
SNMP 是 否 超时 。 目 前 已 知 的 几 个 主要 问题 以 及 解决 方法 如 下 : DAC 以 及 iMC 版 本 问题 。 
如 果 是 AC 版 本 较 老 ,可 以 将 设备 的 软件 版 本 升级 、 更 新 ; 而 iMC 5.2 E0401 版 本 存在 MIB 兼 
容 问 题 , 需 要 升级 至 5. 2 E0401H03 及 以 上 版 本 才 可 ,而 5.2 以 前 版 本 不 存在 此 问题 。 对 于 
MIB 风格 问题 ,如 果 网 络 中 设备 数目 较 少 ,还 可 以 考虑 将 设备 的 MIB-Style 改 为 New 风格 的 
MIB, 若 设备 数量 大 ,还 是 考虑 升级 iMC 版 本 。 四 乱码 问题 。 在 确定 某 台 AC 或 AP 命名 出 现 
乱码 问题 以 后 ,删除 并 更 新 设备 配置 信息 ,重新 添加 或 同步 AC 以 后 ,问题 可 以 得 到 解决 。 此 
问题 的 根本 解决 办 法 还 是 在 开局 的 时 候 , 对 整体 无 线 网 络 进 行规 范 的 配置 ,以 避免 后 续 不 必要 
的 麻烦 才 是 上 上 策 。@SNMP 问题 。 最 好 先 排 查 网 络 原因 ,保证 iMC 服务 器 与 AC 之 间 的 网 
络 通 断 正常 ; SNMP 超时 的 问题 ,车 网 络 正常 , 则 需要 在 MC 服务 器 侧 将 SNMP 超时 时 间 调 
长 ,一 般 先 调 至 30 秒 ( 或 者 调整 至 更 合适 的 时 间 ) ,保证 iMC 及 时 收 到 返回 的 SNMP 报 文 ,这 
种 问题 主要 是 由 于 网 络 延迟 造成 ,具体 可 以 查看 KMS 案例 (iMC 添加 AC 后 在 WSM 组 件 无 
法 看 到 AC 以 及 同步 AC 信息 失败 的 解决 办 法 》。 

(3) WSM License 功能 授权 检查 

WSM 和 iMC 的 其 他 业务 组 件 一 样 , 有 着 严格 的 License 控制 策略 ,在 使 用 WSM 前 ,需要 
确认 购买 或 试用 的 License 满足 需求 。 在 进入 iMC 以 后 , 单 击 页 面 右上 角 “ 关 于 ”按钮 ,可 以 查 
看 注册 的 无 线 License 信息 如 图 8-397 所 示 。 

由 于 频谱 防护 、 网 络 评估 为 WSM 5. 1-E0302 版 本 才 首 次 具有 的 功能 ,所 以 如 果 购 买 并 注 
册 了 License 但 是 在 关于 中 看 不 到 相关 功能 ,首先 需要 确定 WSM 版 本 信息 ; 其 次 确定 
License 注册 完成 是 否 重启 了 iMC 。 
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还 有 ,在 WSM 组 件 中 AC 和 FAT AP 占用 iMC PLAT 的 License, m FIT AP 需要 使 用 
相应 节点 的 License, 节 点 数 是 由 AC 上 配置 的 AP 模板 决定 的 ,如 果 客 户 的 节点 数目 超出 了 ， 
需要 在 AC 上 删除 多 余 的 模板 或 购买 License 扩容 激活 。 无 线 定 位 功能 License 包括 了 基于 
AP 的 非 实时 定位 、 基 于 iNode 客户 端的 实时 定位 ,其 中 基于 iNode 客户 端的 实时 定位 也 需要 
有 相应 的 节点 。 

(4) 无 线 定位 功能 的 检查 

无 线 定位 功能 的 原理 : 通过 指纹 采样 算法 ,在 大 于 等 于 3 台 AP 的 无 线 环境 中 设置 采样 
点 采集 无 线 信 号 衰减 以 及 距离 信息 ( 存 人 后 台数 据 库 ) , 当 终 端 接 入 AP 以 后 ,通过 AP 主动 扫 
描 信 道 扫描 信道 (基于 AP 的 非 实时 定位 ) 或 通过 iNode 客户 端 发 送 实时 通信 报 文 (基于 iNode 
的 实时 定位 ) 来 对 接 和 终端 .用户 进行 拓扑 定位 展示 。 

正常 情况 下 ,设置 完 采 样 点 进行 采样 以 后 , 单 击 “移动 终端 ”的 定位 ,这 时 会 将 终端 定位 在 
无 线 位 置 视图 拓扑 中 (定位 在 采样 点 上 ) ,如 果 定 位 失败 , 则 需要 检查 移动 终端 是 否 设置 为 采样 
点 以 及 采样 情况 ,首先 检查 WSM 资源 管理 的 移动 终端 中 是 否 将 在 线 的 移动 终端 MAC 设置 
为 采样 用 户 ,如 图 8-398 所 示 。 
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图 8-398 采样 用 户 


然后 检查 在 位 置 视 图 中 采样 点 的 间隔 是 否 符合 要 求 (5 一 10 米 ) 以 及 选择 终端 MAC 地 址 
是 否 正确 ,如 图 8-399 所 示 。 
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8-399 选择 MAC 


最 后 检查 采样 点 是 否 正 确 采样 结束 (10 分 钟 左 右 , 具 体 看 网 络 环境 ) 。 

(5) 无 线 终端 用 户 信息 检查 

在 WSM 资源 管理 的 “移动 终端 用 户 ” 模 块 ,正常 情况 下 如 果 手 动 增加 了 用 户 信息 , 可 以 查 
看 接 入 的 移动 用 户 以 及 实时 监控 等 信息 ,如 图 8-400 所 示 。 
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如 果 在 移动 终端 中 查看 用 户 名 称 为 空 , 则 有 以 下 几 种 原因 : 一 是 没有 在 无 线 设备 配置 
802. 1x 认证 ; 二 是 没有 认证 也 没有 手动 增加 用 户 信息 ; 三 是 有 UAM 服务 器 但 是 没有 相应 的 
配置 去 同步 UAM 信息 。 

移动 终端 列表 用 户 名 称 按 以 下 方式 获取 。 

D 如 果 网 络 管理 员 在 无 线 设 备 中 配置 802. 1x 认证 方式 接 入 的 无 线 网 络 ,无 线 设 备 可 以 
获取 到 用 户 在 802. 1x 认证 中 使 用 的 用 户 名 ,移动 终端 列表 中 用 户 名 称 显示 设备 上 获取 的 用 户 
名 称 。 

© 操作 员 在 终端 信息 管理 中 增加 移动 终端 MAC 和 用 户 名 称 对 应 关系 后 ,移动 终端 列表 
中 用 户 名 称 显 示 终 端 信息 管理 中 的 用 户 名 。 如 果 能 够 通过 方式 中 获取 用 户 名 , 则 该 方式 无 效 。 

© 如 果 UAM 组 件 中 存在 该 用 户 的 IP 地 址 和 用 户 名 绑 定 的 情况 , 则 移动 终端 列表 中 用 
户 名 称 显示 UAM 中 的 用 户 名 。 如 果 能 通过 方式 中 `@ 获 取 用 户 名 , 则 该 方式 无 效 。 

@ 如 果 UAM 组 件 中 存在 该 用 户 的 MAC 地 址 和 用 户 名 绑 定 的 情况 , 则 移动 终端 列表 中 
用 户 名 称 显 示 UAM 中 的 用 户 名 。 如 果 能 通过 方式 中 O 、@ 获 取 用 户 名 , 则 该 方式 无 效 。 

© 如 果 UAM 组 件 的 在 线 终端 表 中 存在 该 无 线 用 户 时 , 则 移动 终端 列表 中 用 户 名 称 显示 
UAM 中 在 线 用 户 表 中 的 用 户 名 。 如 果 能 通过 方式 DO .Q GQ 、 田 获取 用 户 名 , 则 该 方式 无 效 。 

例如 : 有 移动 终端 通过 802. 1x 认证 方式 接 人 无 线 网 络 ,认证 时 使 用 的 用 户 名 称 是 A, 则 
移动 终端 列表 名 称 显示 A。 此 时 如 果 通 过 终端 信息 管理 功能 增加 一 条 该 终端 MAC 和 用 户 名 
的 绑 定 关系 ,如 用 户 名 为 B, 则 移动 终端 列表 用 户 名 称 还 是 显示 A, 如 果 用 户 下 线 后 ,再 次 接 人 
时 不 通过 802. 1x 认证 方式 接 人 无 线 网 络 , 则 用 户 名 称 显示 B。 简 而 言 之 : 通过 802. 1x 认证 
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上 线 , 则 使 用 认证 时 的 用 户 名 ,下 线 则 使 用 自 定义 的 用 户 名 。 

如 果 想 要 看 到 用 户 名 称 , 有 三 种 办 法 : 一 是 在 无 线 设备 配置 802. 1x 认证 ,这 时 WSM 会 
获取 通过 认证 的 用 户 名 称 ; 二 是 手动 添加 用 户 信 息 , 将 MAC 和 用 户 信息 相互 绑 定 ; 三 是 需要 
与 UAM 服务 器 联动 ,将 UAM 服务 器 上 的 用 户 信息 同步 至 WSM 资源 管理 中 ,同步 以 后 就 可 
以 看 见 移动 终端 用 户 的 相关 信息 ,可 以 单 击 WSM 中 的 “配置 管理 ”, 然 后 选择 “UAM 服务 参 
数 配 置 ”, 最 后 对 U AM 服务 器 IP 地 址 、 登 录 端 口 ,登录 名 和 密码 进行 配置 ,如 图 8-401 所 示 。 


Wlas > 无 强生 学 冤 理 >> RETA > UAM 服 务 参 要 配置 Om 
umesane 
一 一 一 一 一 一 一 一 一 
* UAM 服 务 敌 IP 地址 127.0.0.1 
+ pao 8080 
登录 方式 % HTP € HTTPS 
+ Er admin 
+m 7 画 
+ mamawa — 画 
memmuuames — m 
as |] EE 


8-401 UAM 服务 参数 配置 


单 击 “ 确 定 ?按钮 以 后 ,就 可 以 联动 UAM 服务 器 对 终端 用 户 名 进行 同步 了 。 
(6) 节能 策略 检查 
节能 策略 的 配置 如 图 8-402 所 示 。 


* 停止 时 间 |SSID 启 动 停止 H3C) 
SSID 启 动 停止 (HP) 


图 8-402 节能 策略 配置 


在 使 用 WSM 节能 策略 管理 的 时 候 ,下 发 一 些 策略 可 能 会 出 现 不 成 功 的 情况 。 比 如 ,在 下 
发 AP 启动 停止 时 ,到 达 指 定时 间 ,发 现 策略 未 生效 ,这 时 需要 检查 AP 是 否 支持 POE 供电 ， 
支持 的 设备 才能 正确 下 发 。 


RE RETR ie 8.1.33 桌面 资产 管理 
故障 排查 


# 869 kk 排查 


===>》 表 元 上 一 步 结 时 出现 问题 


EATER 
HAE 


检 - 5 iNode 8. i p 
是 下 名山 DAM 功 能 
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08 iMC 管理 软件 P 8.1 业务 软件 : iMC S a 步骤 详解 


1. 开始 

桌面 资产 管理 通过 iNode 客户 端 与 1MC DAM 组 件 通信 建立 连接 ,进行 注册 资产 。 针 对 
已 注册 的 桌面 资产 生效 桌面 控制 方案 和 软件 分 发 策略 。 

排 错 思 路 为 : 首先 ,检查 服务 器 各 组 件 部 署 情况 和 运行 状态 ,查看 DAM 相关 端口 的 使 用 
状况 ; 其 次 ,检查 客户 端 定制 和 与 服务 器 之 间 通 信和 的 情况 ; 最 后 ,在 DAM 配置 台中 检查 具体 
配置 参数 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 性 检查 

服务 器 性 能 是 保证 iMC 认证 系统 稳定 运行 的 基本 要 素 , 所 以 排查 问题 是 首先 需要 确认 服 
务 器 软 硬 件 配置 情况 。 

请 对 照 《 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 查 询 这 套 MC 服务 器 的 业务 量 是 否 
符合 配置 要 求 。 该 配置 方案 是 我 们 推荐 的 运行 iMC 最 基本 的 部 署 要 求 。 

D 对 照 (智能 管理 中 心 GMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存 、 硬 盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、Portal 网 页 在 线 数量 多 , 需 考虑 是 否 根 据 ( 智 能 管理 中 心 (iMC) 部 
署 和 硬件 配置 方案 ) 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 。 

点 需要 检查 内 存 占用 是 否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 CGiMC) 部 署 和 硬件 配 
置 方案 》 计 算出 的 要 求 ,操作 系统 是 否 是 高 性 能 的 x64 版 本 。 

@ 打开 部 署 监 控 代理 ,在 部 署 监控 代理 中 查看 部 署 页 面 ,“ 用 户 接 入 管理 "各 组 件 是 否 是 
已 部 署 的 状态 。 

需要 关注 的 组 件 有 用 户 管理 相关 组 件 , 其 状态 都 应 为 “已 部 署 ”。 

查看 iMC 安装 部 署 桌面 资产 管理 组 件 如 图 8-403 所 示 。 两 个 组 件 必须 是 “已 部 署 ”。 


GEBERLE 
aplan S8 |ensa] 


| e | w | 
APENE - MP GURA RRAPENNGDEAREPNNA. INCUN 5.2 (£0402 ENE ERAS 


$@ “用户 杰 和 管理 sh 部 器 在 用 户 楼 入 备 埋 服务 器 之 外 的 其 ANC VAX 5.2 (E0402) 未 部 里 


$ Rš up e [TYTTTZTEYCITYTJ inc TAX 5.2 (E0401) BRE EL ELA 


图 8-403 组 件 部 署 情 况 


(2) iMC 服务 器 运行 情况 检查 

D 查看 部 署 监控 代 中 damserver 的 进程 状态 ,正常 情况 下 该 进程 状态 为 “已 经 启动 "。 对 
于 桌面 资产 管理 和 代理 服务 器 分 布 式 安 装 会 有 进程 damproxy。 图 8-404 所 示 为 集中 式 部 署 
时 DAM 的 进程 截图 。 

© 检查 服务 器 上 端口 8015、8027、9023、9025、9027、9029 的 使 用 情 

在 命令 提示 符 中 输入 netstat -aon|findstr :9029 查看 使 用 9029 I Z PID。 输 入 
netstat -aon|findstr :14352, 如 图 8-405 所 示 。 回 车 显示 的 是 该 PID 的 进程 使 用 的 端口 有 哪 
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些 。 正 常 显 示 如 图 8-405 所 示 。 另 外 ,在 任务 管理 器 中 对 应 PID 的 进程 应 该 为 iMC 的 进程 ， 
显示 为 java. exe 或 javaw. exe。 若 显示 不 正常 ,请 排查 缺失 端口 是 否 让 非 iMC 进程 占用 ,并 
启 damserver 的 进程 。 


° 305,400 2013-06-20 15:44:58 MEMAR — 自动 
Q dataanalrzer 0.04 84, 728 2013-06-20 15:44:58 MESAR 自动 
O :wt 已 过 启动 bai ° 399, 840 2013-06-20 15:44:58 TERRA 自动 
© wbaserrer 2ra +i ° 181, 012 2013-06-20 15:44:59 MEMAR — 自动 
O jserver Emas 本 机 0.35 3,182,436 2013-06-20 15:44:58 MEPER 自动 


图 8-404 ”集中 式 部 署 时 DAM 进程 图 


indstr :982 


UDP 


C: ser ninistrator netsts ifindstr 14352 
IC 7 N 5 a.8:8 

TCP BË B.B .1:1433 

ICP -0. B.0.1:1433 ESTABLISHED 
UDP 

UDP 

UDP 

UDP 

UDP 

UDP 


IC: Wsers Administrator 


文件 下 ) 选项 mD) 查看 W) 帮助 00 
应 用 程序 进程 jes lit | 联网 


java. exe 


java. exe 


图 8-405 ”端口 使 用 情况 


说 明 : 
(a) Windows 操作 系统 中 ,通过 
netstat-aon | findstr :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID, 如 图 8-406 所 示 。 


图 8-406 命令 显示 


其 中 第 一 列 UDP 所 指 监 听 的 协议 ; 第 二 列 所 指 监听 的 服务 器 的 IP 和 端口 号 ; 第 三 
列 * ;x 代表 此 行 信息 为 监听 状态 ; 最 后 一 列 14352 代表 此 协议 监听 的 进程 PID。 查 到 端口 所 对 
应 的 进程 PID 后 .请 查看 Windows 任务 管理 器 ,通常 java 或 javaw 就 是 IMC 各 组 件 使 用 的 进程 。 

(b) 端口 介绍 

8015: DAM 服务 器 侦 听 停止 命令 端口 。 

8017: DAM 服务 器 侦 听 配置 台 发 送 的 日 志 级 别 更 新 报 文 端口 。 

9023: DAM 服务 器 监听 配置 台 通知 报 文 和 策略 服务 器 回应 报 文 。 

9025; DAM 服务 器 与 DAM 代理 服务 器 通信 时 ,DAM 服务 器 侧 端 口 。 
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9027: DAM 服务 器 与 DAM 代理 服务 器 通信 时 ,DAM 代理 服务 器 侧 端 口 。 

9029: DAM 代理 服务 器 监听 客户 端 请 求 报 文 端口 ,iNode 向 此 端口 发 送 DAM 各 种 请 求 
报 文 。 

(3) 检查 客户 端 与 服务 器 通信 

检查 客户 端 与 服务 器 网 络 连通 性 。 可 通过 ping 命令 检查 客户 端 与 服务 器 之 间 网 络 是 否 
可 达 , 如 图 8-407 所 示 。 


图 8-407 检查 客户 端 与 服务 器 通信 


(4) 检查 iNode 客户 端 是 否定 制 DAM 功能 
O 查看 iNode 客户 端 是 否定 制 了 DAM 功能 ,查看 方法 如 图 8-408 所 示 。 


ZAO RFP ESO WEv) Language(L) FMH) 


[加 直路 由 表 信 息 ] FAKS | 用 户 信息 | 
版 本 
功能 和 协议 组 件 


| 功能 或 协议 组 件 名 称 是 
| zan 是 
ë 
5 


iNode PC 5.2 (£0408) 


| 新 智能 卡 
| 智能卡 


常见 问题 解答 


Q 常见 问题 解答 | 02.1: yay 

= | Fertal 协 议 是 

srant | L2TP IPsec VPN = 
是 


无 线 协议 


2013-06-15, 扫 指 


哺 点 击 工具 条 按钮 | 
络 户 油 安 装 升级 请 i 


图 8-408 定制 的 DAM 功能 


@ 检查 终端 任务 管理 器 中 的 进程 DamAgent. exe 是 否 正常 运行 ,具体 如 图 8-409 所 示 。 


iw. sua Wa K i S i l i i UŘ 


文件 (月 ”选项 (0) 查看 (V) 帮助 (H) 
应 用 程序 | 进程 ”| 服务 č | 性 能 [联网 [用 户 | 


映像 名 称 用 户 名 #šm cu Pre. BE 2 


ccApp. exe bh3e 1 oo 424 K Symantec User Session 


D 00 
UNS. exe SYSTEN 加 E] 2,59 K User Notification Service 
communicator. exe t09445 3 oo 2,024 K Microsoft Lyne 2010 
AcroRd32 exe De 1 O 14,108 K Adobe Reader 7.0 
tasklàr ha 1 mn IBA K TEM Tatune Mataz/D, 
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(5) 检查 DAM 参数 配置 
进入 iMC 管理 界面 ,依次 单 击 “ 业 务 ”>“ 桌 面 资 产 管理 ”>“ 业 务 参数 配置 ">“ 系 统 参数 
配置 "命令 。 对 于 禁用 资产 自动 编号 的 默认 系统 配置 如 图 8-410 所 示 。 


全 二 和 >> ATAMER >> kasama >> 系统 参数 配置 


| 
资产 自动 编号 Ç-—FÜF ”| 
* 资产 变更 扫描 间隔 时 长 3 jh ° 
-ORANE 3 ° 
* ORENS B | ° 
Ml lina 1 ° 
* 日 志保 窗 时 长 90 天 ° 
* 资产 变更 保留 时 长 1825 天 9 
资产 第 验 请 求 间 卫 时 长 3 AN ° 
”服务 器 端口 m3 o ° 
* 代理 服务 器 庙 口 9029 o 
报 文 加 密 启用 ~ ° 
奥 面 服 秀 器 日 志 涡 别 m= z 
发 送 Syslog #A ` © 
上 报 网 络 连 接 配 置 变更 š ~ 9 
资产 绑 定 接 入 账号 s" ~ ° 
* 终 如 文件 审计 记录 保留 时 长 7 天 ° 
显示 资产 监控 信息 是 ~ ° 
DAM 北 务 分 要 多 许 ~ ° 
öz 取消 


图 8-410 禁用 资产 自动 编号 默认 系统 配置 


各 主要 参数 检查 及 调整 方法 如 下 。 

O 心跳 时 间 设 置 是 否 合适 的 检查 方法 。 在 终端 与 服务 器 实际 可 达 的 前 提 下 ,终端 iNode 
“信息 ”一 “桌面 资产 管理 客户 端 连接 注册 信息 ”中 , 若 经 常 显示 “已 注册 未 连接 ”, 表 示 终 端 与 
DAM 服务 器 常 处 于 通信 不 畅 的 状态 ,可 以 增加 “心跳 超时 重 试 次 数 ”, 增 加 * 心 跳 超 时 时 长 ”。 

O 资产 变更 扫描 间隔 时 长 的 检查 方法 。 在 终端 上 安装 卸载 软件 ,造成 资产 变更 的 现象 。 
在 单 击 iMC"* 业 务 ” 一 "桌面 资产 管理 ”一 "资产 软件 变更 ”命令 后 查看 变更 记录 的 更 新 时 间 。 
默认 为 30 分 钟 ,测试 时 可 以 将 参数 改 得 短 一 下 ,比较 邻近 变更 的 时 间 是 否 为 设置 的 参数 范 
围 内 。 

© 上 报 网 络 连接 配置 变更 的 检查 方法 。 因 为 网 络 配置 变更 划 入 软件 变更 中 ,所 以 可 与 资 
产 变更 扫描 间隔 时 长 的 检查 同时 进行 。 资 产 变更 扫描 间隔 时 长 设 为 3 分 钟 时 ,效果 如 图 8-411 
所 示 。 


大 nn > namen >> RERE 


次 关 编号 
"A anono O `" 2013071820225 O FT] == 


共有 12 条 记录 ， 当 前 第 1- 12, 第 1/1 页 > SART: 8 15 [50] 100 200| 
2013-07-18 20:21:45 . 
2013-07-18 20:18:26 . 


图 8-411 变更 的 检查 
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D 资产 绑 定 接 人 账号 的 检查 方法 。 对 于 资产 T09445 来 说 , 它 绑 定 的 用 户 是 tom, #'AE 
tom 的 用 户 上 线 ,iNode 上 注册 资产 T09445 是 不 会 成 功 的 。 提 示 如 图 8-412 所 示 。 


输入 资产 编号 


资产 编号 与 用 户 才 定 有 误 ， 请 重新 输入 。 


资产 编号 : TesT 


图 8-412 “输入 资产 编号 ”对 话 框 

说 明 : 

(a) 资产 变更 扫描 间隔 时 长 : 客户 端 通过 定时 扫描 资产 信息 ( 除 磁盘 分 区 以 外 ) 的 方式 来 
发 现 资产 软 硬 件 是 否 变 更 ,本 参数 设置 客户 端 定 时 扫描 时 间 间 隔 。 磁 盘 分 区 仅 在 客户 端 启 动 
时 扫描 一 次 ,防止 频繁 扫描 损耗 磁盘 。 

(b) 日 志保 留 时 长 : 外 设 、 打 印 机 和 USB 三 种 监控 日 志 在 数据 库 中 保留 的 时 长 。 系 统 会 
在 每 天 凌晨 清除 超过 保留 时 长 的 监控 日 志 。 

(c) 资产 变更 保留 时 长 : 资产 软 硬 件 变更 在 数据 库 中 保留 的 时 长 。 系 统 会 在 每 天 凌晨 清 
除 超 过 保留 时 长 的 资产 软 硬 件 变 更 。 

(d) 终端 文件 审计 记录 保留 时 长 : 终端 文件 审计 记录 在 数据 库 中 保留 的 时 长 ,超过 该 时 
长 的 审计 记录 将 会 在 每 天 凌晨 自动 删除 。 

(e) 其 他 参数 请 查看 联机 帮助 

(6) 已 注册 资产 参数 检查 

查看 具体 资产 的 状态 、 编 号 责任 人 等 信息 。 

桌面 资产 的 状态 有 3 种 :“ 未 管理 “离线 ”“ 在 线 ”。 已 注册 的 资产 根据 是 否 上 线 , 显 示 为 
“离线 "或 “在 线 " 状 态 。 未 注册 的 资产 显示 为 “未 管理 ”。 

单 击 桌面 资产 的 编号 ,可 查看 资产 完整 信息 ,如 图 8-413 所 示 。 


am 批 里 导入 转移 分 组 1 导出 取消 管理 全 资产 分 组 
共有 1 条 记录 ， 当 前 第 1- 1， 第 1/1 页。 SARR: B 15 [50] 100 200| 


mit FW0938 OFW0938 未 分 组 probook 44315 testi 2013-06-16 = 


图 8-413 ”查看 资产 完整 信息 


(7) 桌面 控制 方案 检查 

O 桌面 控制 方案 中 控制 策略 有 三 类 : 外 设 管理 策略 、 绿 色 节 能 策略 、 监 控告 警 策 略 , 如 
图 8-414 所 示 。 可 单 击 “ 业 务 ”>“ 桌 面 资 产 管理 ”>“ 桌 面 监 控 策略 管理 ”命令 ,查看 具体 策略 
内 容 , 如 图 8-415 所 示 。 

@ 确定 资产 已 引用 相应 的 桌面 控制 方案 。 资 产 下 发 控制 方案 的 方法 有 两 种 : 对 资产 分 
组 配置 桌面 资产 控制 方案 ,或 针对 单个 资产 选择 桌面 资产 控制 方案 。 其 中 两 者 中 的 控制 方案 
不 同时 ,单个 资产 中 的 控制 方案 优先 生效 ,如 图 8-416 所 示 。 
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Q rn >> STAREN >> 点 而 控制 方案 >> 修改 点 面 控制 方 案 q 


第 格 名 称 策略 大 型 rm 
ug 外 设 管理 策略 未 分 组 
lal 监控 USB 外 设 管理 第 局 未 分 组 


aan 
Eig 
F] 
5 
B % = 
R (m G 
FE 
EF 
BB 
#*” * 
$ è 
i as 


Caa 


8-414 三 类 控制 策略 


用 户 Ap AS BA 系统 管理 O 
Plus >> 点 而 资产 管理 >> 点 面 监控 策略 管理 


桌面 监控 策略 管理 
外 设 管理 策略 操 色 节能 第 办 SRASRE 


图 8-415 具体 策略 内 容 


(E L5 >> 点 面 资产 管理 >> 所 有 资产 >> 修改 资产 

”资产 编号 [asc J@ 
责任 人 EA 
分 组 名 称 Aaa ] 9 
分 组 的 桌面 控制 方案 名 称 [| ] 日 
区 产 的 桌面 控制 方案 名 种 ”点 面 控制 方案 ~ 
物理 位 轩 
资产 类 型 台式 机 [z] 
生产 厂商 
ms 
备注 

确定 取消 


图 8-416 资产 的 桌面 控制 方案 


(8) 软件 分 发 配置 检查 


软件 分 发 主要 对 分 发 服务 器 和 分 发 的 任务 进行 检查 ,包括 “软件 分 发 服务 器 ”和 “软件 分 发 
任务 ”的 检查 。 

D 软件 分 发 服务 器 。 

第 一 ,确保 软件 服务 器 可 达 。 

第 二 ,确保 软件 服务 器 上 的 端口 可 用 。 
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第 三 ,确保 相应 的 服务 已 启用 ,包括 FTP, Http HEFIR. 

@ 软件 分 发 任务 。 

分 发 任务 的 检查 方法 。 以 FTP 方式 分 发 的 情况 为 例 , 在 分 发 任务 配置 界面 , 单 击 “ 测 试 方 
法 ”, 如 图 8-417 所 示 。 


ii 业务 >> 点 而 资产 管理 >> 软件 分 发 任务 >> 修改 软件 分 发 任务 


* 任务 名 称 软件 9 
任务 提示 9 
* 软件 分 发 服务 器 fenfaSOFT ` 
* 执行 方式 立即 执行 > 
* 执行 延 时 5 分 钟 同 
下载 文件 及 其 路 径 ftp://10.453 43 100:21/ Ç (ok —_— EG 
-RRAN karę — o o 
* 支 装 后 出 除 支 装 文件 是 
* 软件 名 称 m 9 
软件 版 本 ° 


图 8-417 分 发 任务 检查 


根据 弹出 的 提示 页 面 进行 测试 。 方 法 即 在 浏览 器 中 下 载 路 径 输 入 URL, 输 入 用 户 名 密 
码 , 打 开 或 下 载 文件 ,以 验证 配置 是 否 成 功 ,如 图 8-418 所 示 。 


http://10.153.43.100/imc/c 
~ 
@ http://10.153.43.100/imc/dam/softdispense/testPathinfojsf 


下 载 文件 及 其 路 径 ”ftp-//123-123456@10 153 43 100:21//book 


使 用 方法 打开 浏览 器 ， 复 制 以 上 URL 链 接 到 地 址 栏 中 访问 。 如 果 能 直接 打开 文件 或 弹出 下 载 对 话 杠 
或 者 在 销 入 正确 的 用 户 名 /密码 之 后 能 直 控 打开 文件 或 弹出 下 载 对 话 醛 ， 风 配置 成 功 * 
提醒 列 斌 结果 仅 供 参考 ， 软 件 分 发 是 否 成 功 由 用 户 上 线 时 问 络 连通 状况 决定 * 


图 8-418 测试 方法 


TPP aus 3 8.1.34 DAM 软件 分 发 


DA 软件 分 发 故障 排查 


A 
可 用 性 检查 


DAME P iF A 
软件 wo5 检 查 


拨打 热线 
400-310- 0504 
4E 
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IMC 管理 软 ey 8.1.34 DAM 软件 分 发 
08 iMC 管理 软件 8.1 业务 软件 : iMC 故障 排查 步骤 详解 


1. 开始 

DAM 软件 分 发 功能 简介 : DAM 服务 器 通 Http、FTP、 文 件 服务 器 方式 给 已 在 线 DAM 
客户 端 下 发 软件 ,客户 端 下 载 完成 后 ,进行 安装 等 操作 将 软件 部 署 在 客户 端 PC 中 。 

DAM 软件 分 发 功能 排 错 定位 思路 : 功能 分 为 三 大 主体 , 即 iMC DAM 服务 器 、iNode 
DAM 客户 端 .文件 服务 器 。 对 于 不 同 现象 ,排查 不 同 主体 以 得 到 快速 解决 问题 的 目的 。 

本 文 举例 组 网 如 图 8-419 所 示 。 


认证 终端 PC iMC 服 务 器 
( 含 DAM 组 件 ) 
文件 服务 器 
(FTP/Http/File Server) 
4-419 组 网 举例 


由 于 此 功能 实现 在 认证 成 功 之 后 , 故 不 给 出 认证 网 络 规划 等 相关 配置 。 

2. 流程 图 相关 操作 说 明 

通过 现象 判断 出 现 的 问题 是 否 是 全 局 存在 ,区 分 对 待 不 同 现象 进行 排查 。 

(1) 对 于 出 现在 个 别 终端 上 的 问题 优先 从 客户 端 角度 去 排查 

常见 的 问题 现象 有 客户 端 DAM 服务 没有 启动 ,客户 端 未 连接 服务 器 ,下 载 的 软件 安装 包 
文件 错误 等 。 

(2) DAM 客户 端 运行 状况 检查 

O 任务 管理 器 中 是 否 有 DamAgent. exe 进程 运行 ,如 图 8-420 所 示 。 


map Microsoft 基 
Microsoft® HIL 帮 
Microsoft® KINL 82... 
H Quick Synchroni. .. 
hpHotkeyloni tor Se 
MP Software Franev. 


HpService 


图 8-420 ”DamAgent. exe 运行 情况 


BG: MC 管理 软件 LE 


@ 检查 iNode DAM 服务 项 是 否 正常 启动 。 
运行 services. msc, 在 服务 配置 中 查找 iNode DAM Agent 服务 ,并 检查 其 状态 ,如 图 8-421 


所 示 。 
BS 


XD SFA SEV SWH 
esmo s s| ml v m nw 


iNode DAM Agent 名 称 mE e ”启动 型 ”登录 为 ^ 
vo en 3 
停止 此 服务 T iNode Serica ceS F sua 
zemes ‘S iNodeMngChecker Service Em em è 本 地 系统 
‘S Intel(R) Management & Se... Intel. 已 启动 ”自动 GBR.， 本 地 系统 ”~ 
扩展 人 人 标准/ 


图 8-421 iNode DAM Agent 服务 


(3) DAM 客户 端 连通 性 检查 

从 DAM 客户 端 侧 分 别 ping 测试 DAM 服务 器 策略 中 配置 的 文件 服务 器 的 连通 性 ,在 网 络 
上 服务 器 上 不 禁止 ping 的 情况 下 ,要 确保 服务 器 均 可 达 。 如 有 可 达 性 的 问题 ,需要 排查 网 络 。 

(4) DAM 客户 端 在 线 状态 检查 

在 iNode 客户 端 中 单 击 菜单 项 “信息 ”一 “桌面 资产 管理 客户 端 连接 注册 信息 ”命令 ,如 
图 8-422 所 示 。 


8-422 “桌面 资产 管理 客户 端 连接 注册 信息 ” 


查看 “桌面 资产 管理 客户 端 " 窗 口中 各 状态 是 否 是 “正在 运行 “已 连接 ”已 注册 ”。 如 有 其 
他 状态 ,请 先 参考 云图 (桌面 资产 管理 故障 排查 ) 将 客户 端 状态 修正 ,如 图 8-423 所 示 。 

(5) 第 三 方 文件 服务 器 可 用 性 检查 

根据 不 同 服务 器 类 型 Http、FTP ,文件 服务 器 分 别 在 客户 端 侧 检测 器 可 用 性 。 

O Http 进行 软件 分 发 ,可 使 用 IE 浏览 器 进行 URL 的 直接 下 载 的 (多 余 ) 操 作 ,查看 是 否 
可 以 正常 下 载 到 要 分 发 的 软件 ,如 图 8-424 所 示 。 

@ 对 于 FTP 服务 器 ,可 使 用 命令 行 中 的 FTP 命令 将 服务 器 上 的 文件 下 载 到 本 机 进行 测 
试 ,如 图 8-425 所 示 。 

@ 文件 服务 器 进行 软件 分 发 ,直接 使 用 Windows 资源 管理 器 测试 文件 是 否 可 以 正常 拷 
贝 到 本 地 ,如 图 8-426 所 示 。 
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资产 注册 杖 态 : 


AMRS: 
资产 责任 人 


代理 IP: 10.165.6. 和 9 


图 8-423 “桌面 资产 管理 客户 端 状态 ” 


要 运行 或 保存 来 自 10.153.43.100 的 wireshark_1.6.8.exe (18.6 MB) 13? 
D “这 种 尖 型 的 文件 可 能 会 危害 你 的 计算 机 


运行 B) 


Æ 8-424 Http 软件 分 发 


Ban c e 


ftp 10.15 
Pİ 101s 
Serv- 
《10.15 


User logged in 
dir 
PORT command succe 
Opening ñSCII mode data c bin/1 

' 4 10:45 index.htnl 
59 Jun 48 2012 vi 
ferred. 0.14 KB/sec 


ru-rt 1 user group 
ru-rv 1 user yroup 
Transfer complete. 143 byte 
I 3.00 
get wireshark_1.6 

PORT connand successful 

Opening BINARY mode data 


connection for x hark 1.6.8.exe 


Iransfer complete „599,159 red, 2,78 
195991 


6Ø KB 


Æ 8-425 FTP 命令 


hark 1.6.8.exe 


9599159 Bvte 


GO een ë ë ë Oë a 


T! 


组 织 > 新建 文件 夫 

zi | gram |z EZ 

E) index. htal 2013/12/24 10:45 NML 文档 1% 
国 wireshark 1.8.8. exe 2012/6/18 23:02 应 用 程序 19,140 ÉB 


图 8-426 文件 服务 器 软件 分 发 


EG: MC 管理 软件 1173 


@ 如 果 以 上 软件 出 现 不 能 下 载 的 情况 ,请 先 将 下 载 功能 调 通 。 

(6) DAM 客户 端 下 载 软件 MD5 检查 

可 自行 下 载 MD5 校 验 软件 ,将 所 下 载 的 文件 和 服务 器 上 的 文件 进行 MD5 值 的 哈 希 校 验 
比较 。DAM 客户 端 自动 下 载 的 文件 路 径 在 “C:\iNode DAM Agent\ (十 六 进 制 字符 串 )\ 
SoftDlvrMng\ ”路径 下 ,可 打开 该 目录 找到 分 发 软件 文件 。 

举例 : 通过 DM5 值 计算 结果 不 同比 较 出 两 个 文件 不 相同 ,如 图 8-427 所 示 。 


日 _17.57- 


7 1.6.8. 
MDS: 70688E1FE4DC233A962C1836DDBACESS 
SHAI: 2AT6DF5B32C119039756196720B802F1F01F9BSB 


8-427 DM5 值 计 算 不 同比 较 两 个 文件 不 同 


(7) 全 局 故障 优先 排查 服务 器 侧 

若 全 部 客户 端 都 存在 问题 ,建议 先 从 服务 器 端 着 手 排查 问题 。 首 先 请 访问 iMC 服务 器 
Web 配置 界面 和 服务 器 本 地 ,查看 其 操作 是 否 有 严重 卡 顿 等 不 正常 操作 现象 ,如 有 ,需要 先 检 
查 iMC 服务 器 配置 规范 性 和 iMC 服务 器 运行 情况 。 

(8) iMC 服务 器 安装 部 署 规 范 检查 

服务 器 性 能 是 保证 iMC 认证 系统 稳定 运行 的 基本 要 素 , 所 以 排查 服务 器 侧 问 题 时 首先 要 
确认 服务 器 软 硬 件 配 置 情况 是 否 符合 要 求 。 

请 对 照 《 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 查 询 这 套 iMC 服务 器 对 应 业务 量 的 
配置 需求 。 该 配置 方案 是 我 们 推荐 的 运行 iMC 最 基本 的 部 署 要 求 。 

D 对 照 ( 智 能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存 、 硬 盘 等 是 否 
合乎 规格 ,如 果 认 证 数量 大 、Portal 网 页 在 线 数量 多 , 需 考 虑 是 否 根 据 ( 智 能 管理 中 心 (iMC) 部 
署 和 硬件 配置 方案 ) 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 。 

重点 需要 检查 内 存 占用 是 否 过 高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 (iMC) 部 署 和 硬件 配 
置 方案 ) 计 算出 的 要 求 , 操 作 系 统 是 否 是 高 性 能 的 x64 版 本 。 

© 打开 部 署 监 控 代理 ,在 部 署 监 控 代理 中 查看 部 署 页 面 ,“ 用 户 接 入 管理 "各 组 件 是 否 是 
已 部 署 的 状态 。 

需要 关注 的 组 件 有 “用 户 接 入 管理 ”和 “Portal 服务 器 ”, 其 状态 都 应 为 “已 部 署 ", 如 图 8-428 
所 示 。 

(9) iMC 服务 器 运行 情况 检查 

查看 “iMC 智能 部 署 监 控 代 理 ” 中 进程 选项 卡 中 是 否 有 未 启动 的 进程 ,各 进程 是 否 正常 为 
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YF iNC EAD 7.0 (E0103) 主 服务 器 
Í WREE - 点 面 资产 管理 供 对 点 面 资产 业务 的 卫 置 和 用 户 的 认证 功能 。 ic EAD 7.0 (E0103) | 已 部 署 | 主 服务 器 
J ”Hin 安 全 第 曲 管理 - 点 面 资产 管理 代理 服务 器 阳 供 对 点 画 资 产 管理 报 文 的 转发 功能 。 i EAD 7.0 (E0103) | 已 部 署 | 主 服务 器 
CAMS 计 费 管 理 对 接 入 用 户 进行 计 费 管理 。 iNC CANS 7.0 GO ， 已 部 署 主 服务 器 
I 网 络 行为 分 析 提供 对 网 络 行 为 分 析 与 审计 的 基本 配置 和 管 . . 。 iMc TMVBA 7.0 ..， 已 部 署 主 服务 器 
$ ”网 络 行为 分 析 服 务 挤 收 网 络 行为 信息 ， 并 提供 相应 的 存储 管理 .. ， iMc MAUA 7.0 .- ， 已 部 署 主 服务 器 
I 网 络 流星 分 析 通过 多 种 方式 对 网 络 流 量 信息 的 分 析 结 果 进 . . inc ma 7.0 (E01. - ， 已 部 署 主 服 务 器 
万 “网络 行 为 分 析 服务 接收 网 络 行为 信息 ， 并 提供 相应 的 存储 管理 . . 。 ic TAUBA 7.0 ..， 未 部 署 
多 “网络 流 里 分 析 服务 对 色 络 流 里 信息 提供 钉 角 度 的 统计 分 析 功能 *。。 ic A 7.0 GOL.. DHE 主 服务 器 
请 网络 流量 分 析 服务 对 网 络 流 里 信息 提供 多 角度 的 统计 分 析 功能 。 iNc IFA 7.0 (E0101) 未 部 署 
I RATAR 提供 对 多 种 用 户 行为 日 志 的 快速 审计 功能 。 iNC WBA 7.0 (E01..， 已 部 署 主 服 务 器 
$ ”用户 行 为 审计 服务 提供 对 多 种 用 户 行为 日 志 的 管理 功能 。 iNC UBA 7.0 (E01..， 已 部 署 主 服务 器 
O 用 户 行为 审计 服务 提供 对 多 种 用 户 行为 日 志 的 管理 功能 。 ic WBA 7.0 (E0101) 未 部 署 
I “智能 管理 中 心 - 无 线 业 务 管理 对 ;MC 系 统 中 的 无 线 业务 进行 管理 。 iNC WSW 7.0 (E0102) 已 部 署 主 服务 器 
$ 智 能 管理 中 心 - 无 线 入 侵 防 他 系统 用 于 防 部 未 经 授权 的 设备 接 入 无 线 5 络 。 ic WSN 7.0 (E0102) 已 部 署 主 服 务 器 
P 服务 运 维 管理 -CMDB 管理 对 iMC 的 cwDB 数 据 库 进行 统一 管理 和 维护 。 ic SON 7.0 (E0101) 已 部 署 主 服务 器 
$ 服务 运 维 管理 - 服务 台 基于 流程 的 自助 服务 台 ， 对 IT 运 维 提 供 支撑 。 — iMC soN 7.0 (E0101) 已 部 署 ERAS 
$# 设 备 认证 管理 提供 设备 用 户 TACACS+ 认 证 和 分 权 管 理 设备 的 . . imC TAN 7.0 (E0103) 已 部 署 主 最 务 器 
I PARRER - 服务 健康 管理 结合 寺 警 、 性 能 等 相关 赦 据 ， 通 过 创建 MRI 与 ic SM 7.0 (E01..， 已 部 署 主 服务 器 
$ “服务 健康 管理 MRENE 采集 并 分 析 设备 上 网 络 性 能 相关 的 数据 。 ic SHM 7.0 (E01. .， 已 部 署 主 服务 器 


请 选择 组 件 ， 按 下 也 标 右键 泊 活 操作 荣 单 ” 
图 8-428 组 件 部 署 情 况 


“已 经 启动 ”。 

D 打开 部 署 监控 代理 ,查看 damserver 进程 是 否 正 常 启动 。 由 于 DAM 服务 器 需要 在 认 
证 (不 一 定 认证 ) 结 束 后 发 起 DAM 相关 操作 ,所 以 也 需要 确认 uam. exe、policyserver 等 认证 
相关 进程 是 否 正 常 ,更 具体 的 排查 方法 请 参考 相关 云图 文档 ,如 图 8-429 所 示 。 


imcwlanda. exe 


imewslanperfdm exe 


img exe 


processor. exe 


receiver. exe 


9, 480 2013-12-25 09:35:15 

3, 620 2013-12-25 09:35:32 

159, 384 2013-12-25 09:35:12 

225, 744 2013-12-25 09:35:12 

0 

jserver š ,147, 672 2013-12-25 09:35:12 
portalserver 所 180, 468 2013-12-25 09:35:12 ”可 管理 进程 
webServicelodel š, 179, 988 2013-12-25 09:35:12 — 可 管理 进程 
webServicelode? š, 179, 880 2013-12-25 09:35:12 。 可 管理 进程 
seplat 227, 852 2013-12-25 09:35:12 — 可 管理 进程 
cmdbserver a 222, 312 2013-12-25 09:35:12 。 可 管理 进程 
180, 616 2013-12-25 09:35:12 。 可 管理 进程 
° 可 管理 进程 
178, 860 2013-12-25 10:20:38 。 可 管理 进程 
acmmeb 175, 040 2013-12-25 09:35:12 。 可 管理 进程 


图 8-429 进程 启动 状态 
说 明 : 一 般 情 况 下 ,这 些 进程 通过 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 
@ 检查 服务 器 9029 UDP 端口 是 否 被 damserver 相关 进程 所 监听 ,由 于 damserver 是 
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java 进程 ,在 任务 管理 器 中 找到 对 应 进程 为 java 即 可 ,如 图 8-430 所 示 。 


文件 F) 选项 0) 查看 W) 帮助 00 
应 用 程序 进程 | 服务 ”| 性 能 | 联网 | 用 户 | 
00 K Java (TN) 


00 1,184 K uam. exe 
Adnin. o0 2,088 K 2345 好 压 


HaoZip. exe *32 
图 8-430 ”任务 管理 器 中 的 java 进程 


PBB: 
(a) Windows 操作 系统 中 ,通过 
netstat -aon | findstr :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID。 
举例 : 对 于 命令 提示 符 回 显 ,如 图 8-431 所 示 。 


netstat -aon 1 
UDP 0.0.0.0:9029 


图 8-431 命令 提示 符 


其 中 第 一 列 UDP 所 指 监听 的 协议 ; 第 二 列 0. 0. 0.0:9029 所 指 监听 的 服务 器 的 IP 和 端 
口号 ,0. 0.0.0 代表 监听 所 有 IP 地址; 第 三 列 * :x 代表 此 行 信息 为 监听 状态 ; 最 后 一 列 
19420 代表 此 协议 监听 的 进程 PID。 

(b) 查 到 端口 所 对 应 的 进程 PID 后 ,请 查看 Windows 任务 管理 器 ,9029 端口 所 对 应 的 应 
为 damserver 为 java 进程 。 

(10) DAM 服务 器 和 DAM 客户 端 连通 性 检查 

需 检 查 在 客户 端 认 证 上 线 后 ,服务 器 到 客户 端的 可 达 性 。 在 未 禁止 ping 的 环境 中 ,可 使 
用 简单 的 ping 进行 测试 。 如 ping 不 通 , 需 先 将 网 络 调 通 。 

(11) DAM 客户 端 在 线 状 态 检查 

在 iMC 配置 页 面 资 产 列表 中 ,需要 下 发 软件 的 PC 状态 需要 为 在 线 状态 。 如 终端 不 符合 ， 
需 按照 云图 (桌面 资产 管理 故障 排查 ) 先 进行 排查 。 

(12) DAM 服务 器 配置 检查 

DAM 服务 器 的 配置 流程 分 为 两 大 步 : 配置 软件 分 发 服务 器 和 定制 软件 分 发 任务 。 

配置 较为 简单 ,给 出 HTTP、FTP、 文 件 服务 器 3 种 服务 器 的 配置 截图 供 排 错 参考 。 

O HTTP 分 发 服务 器 。 

图 8-432 所 示 为 HTTP 分 发 服务 器 。 

HTTP 分 发 任务 如 图 8-433 所 示 。 
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P, AA > 桌面 资产 管理 > 软件 分 发 服务 器 配置 > 修改 软件 分 发 服务 器 配置 


服务 器 名 称 “ 份 发 服务 器 HTTP 

分 发 方式 * nu = 
IP 地 址 * 110.153.43.100 

端口 号 Bo 

传输 模式 PORT Mode (主动 模式 ) ` 
匿名 登录 aa = 
用 户 名 * 

密码 

确认 密码 


8-432 HTTP 分 发 服务 器 


@ 用 户 > 点 面 资产 管理 > 软件 分 发 任务 > 修改 软件 分 发 任务 


任务 名 称 “ Ihttp 方 式 分 发 软件 @ 
任务 提示 @ 
软件 分 发 服务 器 * 分 发 服务 器 HTTP ` 
执行 方式 * 应 即 执行 ` 
执行 时 间 wW o 
执行 延 时 “ 5 2 © 
下 载 文件 及 其 路 径 http://10.153.43.100:80/ [wireshark_1.6.8.exe | aitak | 
安装 类 型 | 静默 安装 X 
命令 行 参数 
安装 后 喇 除 安装 文件 * = X 
软件 名 称 * |wireshark 1 6 8 (32-bit) @®| 
软件 版 本 @ 

加 全 部 展开 日 全 部 收缩 所 有 资产 分 组 

EA test11 0 


8-433 HTTP 分 发 任务 


对 于 静默 安装 和 交互 安装 的 安装 类 型 ,需要 注意 软件 名 称 处 配置 。 软 件 名 称 需要 和 下 发 
的 软件 安装 后 在 添加 和 删除 程序 中 的 名 称 完全 一 致 ,如 图 8-433 中 的 软件 ,安装 后 在 客户 端 
“控制 面板 ”>“ 所 有 控制 面板 ”>“ 程 序 和 功能 ”条 目 中 ,如 图 8-434 所 示 。 

© FTP 分 发 服务 器 。 

8-435 所 示 为 FTP 分 发 服务 器 。 

FTP 分 发 任务 如 图 8-436 所 示 。 


Er: MC 管理 软件 


1177 


御 载 或 更 改 程序 


发 布 者 


大 小 版 本 


The Wireshark 


图 8-434 “程序 和 功能 ”条 目 


2013/12/25 — 


P. 用 户 > 桌面 资产 管理 > 软件 分 发 服务 器 配置 > 修改 软件 分 发 服务 器 配置 


修 羽 软件 分 发 服务 器 配置 


服务 器 名 称 * 
分 发 方式 “ 
IP 地 址 * 
端口 号 
传输 模式 
匿名 登录 


分 发 服务 器 FTP 


Fr 


10.153.43.100 


pi 


PORT Mode (主动 模式 ) 


= 
=€ 


fipuser 


Fssssas 


图 8-435 FTP 分 发 服务 器 


@ 用 户 > 桌面 资产 管理 > 软件 分 发 任务 > 修改 软件 分 发 任务 


修改 软件 分 发 任务 
任务 名 称 “ 

任务 提示 
软件 分 发 服务 器 “ 
执行 方式 * 
执行 时 间 

执行 延 时 “ 

下 载 文件 及 其 路 径 “ 
安装 类 型 “ 
命令 行 参 数 
安装 后 删除 安装 文件 * 
软件 名 称 “ 
软件 版 本 


分 发 分 组 列表 
周全 部 展开 刁 全 部 收缩 


tp 方式 分 发 软件 


分 发 服务 器 FTP 


ftp://10.153 43 100:21/ wireshark_1.6.8 exe 


交互 安装 ` 


与 


wireshark 1.8.6 (32-bit) 


所 有 资产 分 组 


Æ 8-436 FTP 分 发 任务 


567MB 168 ` 


titg oR 65 Z Ë] —— B) #£ 3 £ K JE $ 


@ 文件 服务 器 。 
图 8-437 所 示 为 文件 服务 器 。 


P. 用 户 > 点 面 资产 管理 > 软件 分 发 服务 器 配置 > 修改 软件 分 发 服务 器 配置 


区 发 服务 吕 FILE 
分 发 方式 * 区 件 共享 < 
IP 地 址 * [10.153.43.100 
端口 号 [ 
传输 模式 PORT Mode (主动 模式 ) = 
匿名 登录 Ë ~ 
用 户 名 * [ 


8-437 ”文件 服务 器 


文件 服务 器 分 发 任务 如 图 8-438 所 示 。 


@ 用 户 > 点 面 资产 管理 > 软件 分 发 任务 > 修改 软件 分 发 任务 


[Je 
任务 名 称 * 文件 服务 器 方式 分 发 软件 加 
任务 提示 @ 
软件 分 发 服务 器 “ 分 发 服务 器 FILE ` 
执行 方式 * 立即 执行 ` 
执行 时 间 @ 
Bh 630 ° 0 o C ëO 
下 载 文件 及 其 路 径 * W10.153.43.100\ [wireshark_1.6.8.exe | mita 
安装 类 型 * | 绿色 软件 ` 
ATER 
安装 后 删除 安装 文件 * E X 
软件 名 称 “ [Wireshark @ 
软件 版 本 © 
[araman W 
国 全 部 展开 司 全 部 收缩 所 有 资产 分 组 分 组 资产 数 
= 未 分 组 0 


图 8-438 文件 服务 器 分 发 任务 


— ++: atr 


9 去 元 上 - 步 结 时 4 更 问题 


mci 


MEN 
x 
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08 iMC 管理 软件 》 8.1 wagt Me y anena S 
1. 开始 


EAD 可 控 软 件 管理 即 黑白 软件 管理 , 黑 名 单 顾名思义 不 允许 安装 运行 , 白 名 单 则 允许 安 
装运 行 。 此 外 ,还 支持 纯 白 软 件 管理 , 即 要 求 终端 必须 安装 软件 列表 里 的 应 用 程序 ,可 以 对 软 
件 、 进 程 、 服 务 、 文 件 等 进行 匹配 ,并 根据 灵活 的 控制 策略 将 不 满足 策略 要 求 的 终端 进行 隔离 、 
下 线 ,提醒 等 ,保证 必 备 软件 的 正常 安装 运行 ,将 安全 投资 落 到 实处 ,巩固 终端 安全 。 

EAD 可 控 软 件 管理 排 错 思路 : 身份 认证 之 后 才 会 触发 安全 认证 ,关于 身份 认证 失败 的 排 
查 思路 可 以 参考 具体 的 认证 类 云图 ,在 此 不 再 叙述 。 首 先 检查 服务 器 软 硬 件 及 性 能 是 否 满足 
当前 认证 需要 ,然后 从 iNode PC 和 iNode DC 及 智能 终端 3 种 客户 端 认 证 场景 进行 分 析 ,做 相 
应 IMC 服务 器 运行 状态 的 检查 ,安全 策略 配置 检查 ,终端 软件 安装 情况 检查 ,最 后 对 照 iNode 
版 本 说 明 书 查看 支持 的 检查 项 及 注意 事项 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

需要 对 照 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 ), 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 , 请 严格 执行 。 

D 对 照 4 智 能 管理 中 心 GiMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU 内存、 硬盘 等 是 否 合 
平 规格 ,如 果 认 证 数量 大 、Portal 网 页 在 线 数量 多 , 需 考虑 是 否 根 据 ( 智 能 管理 中 心 (iMC) 部 署 和 
硬件 配置 方案 ) 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 ,重点 需要 检查 内 存 占用 是 否 过 
高 ,内 存 大 小 是 否 满足 (智能 管理 中 心 iMC) 部 署 和 硬件 配置 方案 ) 计 算出 的 要 求 ,操作 系统 和 数 
据 库 是 否 64 位 ,建议 使 用 64 位 系统 。 

© 单 击 “ 开 始 ” 一 “智能 部 署 监控 代理 "命令, 选择“ 部署” 标签 ,检查 “EAD 安全 策略 管理 ” 
各 组 件 是 否 已 部 署 的 状态 ,具体 如 图 8-439 所 示 , 关 于 “用 户 接 入 管理 ”组件 的 检查 方式 ,请 参 
考 认证 类 云图 。 


楷 智能 部 署 监控 代理 
监控 | 进程 部 署 | 运行 环境 | 
E 


I 用 户 接 入 管理 - 第 略 服务 器 提供 安全 认证 的 . . ， iMC u 7.0 (E0103) 已 部 署 
9 用 户 接 入 管理 - 第 略 代理 服务 器 提供 对 安全 认证 . . 。 mc uam 7.0 (0103) 已 部 署 — 主 服务 器 
I AARNEN - 用 户 自助 服务 提供 用 户 资料 的 ，_imc VAN 7.0 (E0103) 已 部 署 — 主 服务 器 
$ 用 户 接 入 管理 - 用 户 接 入 管理 从 服务 器 部 署 在 用 户 接 入 . . ，_imc VAN 7.0 (0103) 未 部 署 

S 自主 页 面 定制 feb 服 务 器 提供 一 个 独立 的 . incum 7.0 (E0103) 已 部 署 — 主 服务 器 
O 用 户 接 入 管理 - Porta ARSS 提供 Pertal 认 证 . iNC UAM 7.0 (E0103) 未 部 署 
O 用 户 接 入 管理 - 第 略 代 理 服务 器 提供 对 安全 认证 . .iNC UNH 7.0 (0103) 未 部 署 
9 自主 页 面 定制 feb 服 务 器 提供 一 个 独立 的 !. . MC VAN 7.0 (E0103) 未 部 署 
J cAns 计 更 管理 对 接 入 用 户 进行 NC CANS 7.0 (E0102) 已 部 署 
I 设备 认证 管理 


itc TAM 7 O Œ0103) 已 部 署 


提供 设备 用 户 TAC 
me " 


S 安全 第 哺 管 理 ”点 而 次 产 管理 


A FAn 支 全 第 略 管 理 - 点 面 资产 和 


ic EAD 7.0 (E0103) 


图 8-439 组 件 部 署 情 况 


说 明 : EAD 安全 策略 管理 一 桌面 资产 管理 和 EAD 安全 策略 管理 一 桌面 资产 管理 代理 服 
务 器 是 桌面 资产 (DAM) 管 理 的 功能 组 件 ,在 EAD 解决 方案 中 可 以 不 部 署 。 
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(2) iMC 服务 器 运行 情况 检查 

要 使 用 可 控 软 件 管 理 功能 ,除了 确保 UAM 相关 进程 运行 正常 外 ,还 要 检查 策略 服务 器 对 
应 的 进程 是 否 运行 正常 ,及 进程 绑 定 的 端口 是 否 正常 ,具体 可 从 如 下 两 方面 检查 。 

O 单 击 “ 开 始 ” 一 “智能 部 署 监控 代理 ?命令 ,选择 “进程 ?标签 ,查看 EAD 的 核心 进程 
policyserver 是 否 正常 启动 ,具体 如 图 8-440 所 示 。 


EEEREN EE 
监控 进程 | 部 署 | 运行 环境 | 


O receiver.exe PZB) EN 0 74,2162013-12-24 15:30:25 可 管理 进程 “手动 
O tan exe 已 经 启动 本 机 0 13, 994 2013-12-24 15:30:22 可 管理 进程 手动 
O tttpserver. axe 已 经 自动 本 机 0 4,232 2013-12-24 11:25:50 可 管理 进程 ”自动 
© un ee 已 经 启动 本 机 0 1,952 2013-12-24 11:26:11 可 管理 进程 ”自动 
© dnserver 已 经 启动 本 机 O 159,932 2013-12-24 11:25:45 可 管理 进程 自动 
O elat 已 经 启动 ” 本 机 0 ”233, 584 2013-12-24 11:25:45 可 管理 进程 ”自动 
O wbaserver 已 经 启动 本 机 0.04 173, 268 2013-12-24 15:30:15 可 管理 进程 ”手动 
Q jserver 已 经 启动 ” 本 机 0.06 1,824, 300 2013-12-24 11:35:27 可 管理 进程 ”自动 
O portalserver 已 经 启动 ” 本 机 180, 212 2013: 11:25:45 可 管理 进程 ”自动 
O vebserviceNodel 已 经 启动 本 机 180, 656 2013-12-24 11:25:45 可 管理 进程 ”自动 
O wetserviceliode2 已 经 启动 本 机 180, 056 2013-12-24 11;25:45 可 管理 进程 “自动 


cmdbserver 已 经 启动 ”本 机 235, 276 2013-12-24 11:25:45 可 管理 进程 ”自动 
uanjob 已 经 启动 ” 本 机 198, 884 2013-12-24 11:25:45 可 管理 进程 ”自动 
已 经 启动 ” 本 机 176, 484 2013-12-24 15:30:33 可 管理 进程 手动 
181, 140 2013-12-24 15;29:54 可 管理 进程 


oojoo 


mschapv2server 


0 
0 
0 
seplat 已 经 启动 ”本 机 0 268, 956 2013-12-24 11:25:45 可 管理 进程 ”自动 
0 
0 
0 
0 


policyserver 


图 8-440 进程 正常 启动 情况 


说 明 : 一 般 情 况 下 ,这些 进程 通过 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 
@ 检查 策略 服务 器 对 应 的 监听 端口 UDP 9019, UDP 9017 是 否 正常 绑 定 ,如 图 8-441 所 示 。 


图 8-441 ”端口 正常 绑 定 情况 


说 明 1: 如 图 8-441 所 示 ,9019 端口 号 必须 同时 绑 定 两 个 IP, 分 别 是 127.0.0.1 和 实际 网 
卡 IP:172. 16. 100. 122 ,而 9017 端口 和 IP 即 可 ,如 图 8-442 所 示 。 

说 明 2; Windows 人 过 命令 netstat -aon |findstr 端口 号 来 显示 某 端 口 的 监 
听 状 态 以 及 对 应 的 进程 PID, 举 例 : 对 应 提示 符 回 显 , 如 图 8-443 所 示 。 

其 中 第 一 列 UDP 监听 的 协议 ; 第 二 列 172. 16. 100. 122; 9017 所 指 监听 的 服务 器 的 IP 和 
端口 号 ; 第 三 列 *. x* 代表 监听 状态 ; 最 后 一 列 6520 代表 此 协议 监听 的 进程 PID, 根 据 此 
PID, 对 照 Windows 任务 管理 器 , 即 可 确定 该 端口 绑 定 的 具体 服务 。 

(3) EAD 配置 检查 

D 可 控 软 件 策略 配置 检查 。 要 实施 可 控 软 件 管理 ,首先 必须 配置 可 控 软 件 组 ,例如 : 要 
控制 终端 不 能 运行 QQ 软件 , 则 必须 先 创 建 一 个 包含 可 控 软 件 组 ,并 绑 定 一 个 检查 项 ,可 根据 
进程 服务、 文件 或 软件 创建 该 检查 项 。 举 例 : 如 图 8-444 所 示 o 
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ndors 任务 管理 器 


文件 四 选项 @) FEV 帮助 0 


ME 


应 用 程序 进程 | 性 能 | 联网 | 用 户 | 


sqlwriter exe 
java. exe 
Java. exe 
sqlbrowser. exe #32 


cnd. exe +32 
cnd. exe 132 


3888888 
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图 8-442 HERA IP 


@ 用 户 > 安全 第 略 管理 > 可 控 软件 组 管理 > PC 可 控 软件 组 管理 


图 8-443 ”提示 符 回 显 


PC 可 控 软 件 组 


| 从 下 PC 软件 组 


(€ mut - Google Chrome 
基本 信息 
组 名 称 “ 
pen baie 
>= yanan 
软件 组 说 明 es 
= 别名 
合 处 理 方式 
不 合格 缺 省 处 理 方式 anak 
业务 分 组 pea 
ETEN 
zn 
进程 名 称 别名 BERR 
QQ.exe Windows 


Windows 
Linux 
MacOS 


说 明 1: 在 增加 进程 时 ,可 以 单 击 对 应 @@ 的 来 获取 帮助 人 


图 8-444 配置 可 控 软 件 组 


如 图 8-445 所 示 。 


nie 
进程 名 称 ， 
别名 

BERR 
检查 类 型 


进程 说 明 


g 
indows z 


图 8-445 ”获取 帮助 信息 


对 于 Linux 反 作 系 统 ,进程 名 称 必须 与 ps -ef 命令 结果 中 | 
的 进程 名 称 保持 一 致 


对 于 Mac OS , 进程 名 称 必 须 与 ps -awwx -o 
command 命 令 结果 中 的 进程 名 称 保持 一 致 . 


进程 名 称 不 允许 包 会 {|<>/%&\",;") 等 特殊 字符 。 
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说 明 2: 

(a) 可 挖 软件 组 的 类 型 包括 进程 服务、 文件 及 软件 。 不 同 的 类 型 配置 可 能 不 同 , 在 EAD 

安全 策略 中 的 检查 类 型 也 有 区 别 , 例 如 : 如 图 8-446 所 示 , 当 “类 型 ”为 “软件 ”时 ,其 检查 类 型 
包含 “禁止 安装 “必须 安装 ”“ 仅 限 安 装 ”, 如 图 8-447 所 示 。 

QAP > 安全 第 管 理 > 可 控 软 件 组 管理 > PC 可 控 软 件 组 管理 > 增加 PC 可 控 软 件 组 


增加 PC 可 控 软件 组 
„akea 
组 名 称 * 陆 上 运行 ao © 


类 型 
软件 组 说 明 
TARREGA 
业务 人 组 ° 


PC 本 控 钦 件 组 


[加 检查 PC 本 控 次 件 组 
LLL J 类 型 


VMware Workstation 软 件 检查 
VMware Workstation 进 程 检查 
持 止 运行 OQ 


8-447 ”检查 类 型 


而 当 “ 类 型 ”为 “进程 "时 ,其 检查 类 型 只 包含 “禁止 运行 "和 “必须 运行 "。“ 类 型 "为 “服务 ” 
时 ,其 检查 类 型 包含 “禁止 启动 "和 “必须 启动 ",“ 类 型 ”为 “文件 ”时 ,其 检查 类 型 为 “必须 存在 ” 
和 “禁止 存在 ”, 如 图 8-448 所 示 。 


PC 本 控 软件 组 
[加 检查 PC 可 控 软 件 组 
Pete eu am 


VMware Workstatior 软 件 检查 


VMware Workstation 进 程 检查 


8-448 ”类 型 与 检查 类 型 


(b) 一 个 可 控 软 件 组 可 以 包含 多 个 检查 项 。 可 控 软 件 组 中 的 软件 /进程 /服务 /文件 之 间 
是 “或 "关系 , 即 只 要 一 个 条 件 满足 ,就 采取 相应 的 措施 。 分 以 下 两 种 情况 来 说 明 。 

PC 可 控 软 件 组 “A” 中 ,定义 了 诺顿 ,金山 毒霸 和 瑞星 3 个 软件 。 在 安全 策略 中 要 求 客 
户 端 必须 安装 PC 可 控 软 件 组 “A” 中 的 软件 , 则 此 时 客户 端 只 要 安装 了 诺顿 ,金山 毒霸 或 瑞星 
其 中 之 一 ,安全 检查 即 通 过 ; 否则 安全 检查 不 通过 。 

D PC 可 控 软 件 组 *B” 中 ,定义 了 QQ、MSN 两 个 软件 。 在 安全 策略 中 要 求 客户 端 禁止 安 
装 PC 可 控 软 件 组 *B” 中 的 软件 , 则 此 时 客户 端 只 要 安装 了 QQ MSN 其 中 之 一 ,安全 检查 不 
通过 ; 只 有 客户 端 既 没有 安装 QQ 也 没有 安装 MSN 时 ,安全 检查 才能 通过 。 

然后 创建 安全 策略 ,并 将 创建 的 可 控 软件 组 和 安全 级 别 绑 定 。 然 后 在 “服务 ”里 绑 定 “安全 
策略 ”, 如 图 8-449 所 示 。 
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图 8-449 在 “服务 "里 绑 定 “安全 策略 ” 


说 明 : 安全 级 别 可 自行 定义 ,默认 包含 监控 `VIP、 隔 离 \ 下 线 、 访 客 5 个 级 别 , 不 同安 全 级 
别 的 控制 策略 有 所 不 同 ,具体 如 下 。 

(a) 监控 模式 : 无 论 安全 检查 结果 如 何 , 都 提示 用 户 通过 安全 检查 ,不 弹出 安全 检查 结果 
页 面 , 不 对 用 户 做 任何 限制 。 只 在 服务 器 一 侧记 录 检 查 结 果 以 备 之 后 审计 。 

(b) VIP 模式 : 若 安全 检查 不 通过 则 会 提示 用 户 存 在 安全 隐患 ,但 不 对 用 户 采 取 任 何 动 
作 , 不 弹出 安全 检查 结果 页 面 。 

(c) 隔离 模式 : 若 安全 检查 不 通过 ,通知 安全 联动 设备 限制 用 户 只 能 访问 隔离 区 资源 。 

(d) 下 线 模式 : 若 安全 检查 不 通过 ,将 用 户 强制 下 线 。 

(e) 访客 模式 : 特殊 的 下 线 模式 ,默认 设置 了 “不 安全 提示 阅 值 ”。 

RA , 接 和 人 账号 和 服务 进行 绑 定 ,总 之 ,只 有 账号 绑 定 了 正确 的 “服务 ",“ 服 务 ? 绑 定 了 
正确 的 “安全 策略 ”,“ 安 全 策略 ? 绑 定 了 正确 的 “安全 级 别 ” 和 * 可 控 软 件 策略 ”, 才 会 进行 可 
控 软件 的 检查 。 检 查账 号 是 否 配置 了 正确 的 可 控 软 件 策略 最 直观 的 方法 : 通过 接 入 账号 确 
定 其 绑 定 的 服务 ,然后 通过 服务 确定 其 绑 定 的 安全 策略 ,通过 安全 策略 可 以 检查 具体 的 可 
控 软 件 策略 和 安全 级 别 , 包 括 安全 级 别 及 下 发 的 ACL, VLAN 配置 是 否 正确 等 ,如 图 8-450 
所 示 。 

@ 授权 配置 检查 。 

当 终 端 不 满足 可 控 软 件 策略 时 ,会 将 该 用 户 下 线 或 放 到 隔离 区 ,而 隔离 区 的 构造 通常 通过 
下 发 ACL 或 VLAN 实现 ,在 使 用 ACL 或 VLAN 进行 授权 场景 ,需要 确保 下 发 后 终端 PC 和 
策略 服务 器 能 正常 通信 ,如 图 8-451 所 示 。 

例如 : 终端 PC 的 IP: 192. 168. 100. 1 ,策略 服务 器 IP: 172. 16. 100. 200, 如 果 使 用 ACL 进 
行 授权 , 则 设备 侧 的 ACL 配置 中 必须 有 放 通 源 IP:192. 168. 100. 1, 目 的 IP:172. 16. 100. 200 的 
rule, 如 图 8-452 所 示 。 

如 果 ACL 是 下 发 给 iNode 客户 端 ,服务 器 侧 的 客户 端 ACL 配置 中 也 必须 有 放 通 目的 IP 
为 策略 服务 器 172. 16. 100. 200 的 规则 ,如 图 8-453 所 示 。 

说 明 : EAD 构造 隔离 区 有 下 发 ACL 和 VLAN 两 种 ,而 ACL 可 以 下 发 给 设备 ,也 可 以 下 
发 给 iNode 客 户 端 ,VLAN 只 能 下 发 给 设备 ,向 接 入 设备 下 发 接 入 用 户 所 使 用 的 VLAN, 可 以 
下 发 VLAN ID, 也 可 以 下 发 VLAN NAME, 如 果 下 发 VLAN ID, 则 VLAN ID 必须 在 1 一 
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图 8-450 ”账号 和 服务 绑 定 
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8-451 向 设备 下 发 ACL 


cI number 3 了 959 


rule 日 permit ip source 192.168.100.1 @ destination 172.16.100.200 @ 
rule 1 deny ip 


8-452 终端 PC 
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动作 f í 
协议 所 有 IP 协 议 > 
目的 IP 地 址 172.16.100.200 [z] 
摘 码 255.255.255.255 (2] 
目的 端口 Ë | 
wn Ë ] 


8-453 ”服务 器 侧 的 客户 端 ACL 配置 


4094 之 间 , 如 果 接 入 设备 上 不 存在 此 VLAN ID, 则 会 自动 创建 ,如 果 下 发 VLAN NAME, 接 
入 设备 上 必须 预先 创建 此 VLAN NAME, 否 则 下 发 的 VLAN 无 效 。 如 果 ACL 下 发 给 设备 ， 
则 必须 预先 在 设备 侧 配置 好 ACL, 如 果 ACL 下 发 给 iNode 客户 端 , 则 ACL 规则 需要 在 iMC 
服务 器 侧 配 置 ,并 且 iNode 需要 定制 客户 端 ACL 功能 ,如 图 8-454 所 示 。 
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(4) 终端 可 控 软 件 安装 、 运 行 状 态 检 查 

EAD 可 控 软件 管理 可 以 检测 终端 PC, 包 括 Windows、Linux、Mac OS 操作 系统 以 及 智能 
终端 Android 系统 是 否 满足 可 控 软件 策略 要 求 。 在 实施 或 定位 可 控 软 件 管理 相关 问题 时 ,如 
果 通 过 以 上 步骤 排查 都 未 发 现 异常 , 接 下 来 就 需 根据 服务 器 侧 的 可 控 软 件 策略 排查 终端 软 
件 安装 、 运 行情 况 。 以 Windows 和 Android 系统 为 例 , 从 进程 .服务 .软件 .文件 说 明 排查 
方法 。 

© 查看 Windows 系统 的 进程 运行 状态 。 

对 于 Windows 操作 系统 ,进程 名 称 必 须 与 “任务 管理 器 ”进程 "中 软件 的 映像 名 称 保 持 
一 致 ,如 图 8-455 所 示 。 对 于 Linux 操作 系统 ,进程 名 称 必须 与 ps -ef 命令 结果 中 的 进程 名 称 
保持 一 致 ; 对 于 Mac OS ,进程 名 称 必 须 与 ps -awwx -o command 命令 果 中 的 进程 名 称 保持 一 
致 。 进 程 名 称 不 允许 包含 {(、 外 <、 >>、/、% .人 &.\、 "5、* 、} 等 特殊 字符 。 
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进程 数 : 118 CPU 使 用 率 : 20% 物理 内 存 : 67% 
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图 8-455 ”软件 映像 名 称 保持 一 致 

说 明 : 

(a) iNode 客户 端 不 检查 带 有 “/” 的 系统 内 核 进 程 。 例 如 : iMC 要 求 检查 events 进程 , 则 
iNode 客户 端 不 会 检查 类 似 events/0 的 系统 内 核 进 程 ,而 只 检查 类 似 warning/events 的 非 系 
统 内 核 进 程 。 

(b) 在 PC 可 控 软 件 组 中 增加 进程 时 ,还 可 以 设置 检查 类 型 ,而 软件 和 服务 不 能 设置 检查 
类 型 。 检 查 类 型 为 简单 检查 指 客户 端 不 检查 伪 进 程 ; 检查 类 型 为 复杂 检查 指 客户 端 要 检查 伪 
进程 ( 注 : 伪 进 程 是 指 进程 的 实际 名 称 与 在 “任务 管理 器 ”一 “进程” 中 软件 的 进程 名 不 一 致 的 
进程 )。MD5 检查 是 一 种 更 高 级 的 检查 方式 。 管 理 员 计算 软件 的 MD5 摘要 (推荐 使 用 iMC 
自 带 的 计算 工具 计算 MD5 摘要 ) ,工具 下 载 路 径 , 如 图 8-456 所 示 。 
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图 8-456 工具 下 载 路 径 


根据 可 执行 文件 计算 出 MD5 摘要 ,如 图 8-457 所 示 。 

在 可 控 软 件 组 中 配置 ,如 图 8-458 所 示 。 

通过 MC 将 摘要 下 发 给 iNode 客户 端 ,iNode 客户 端 根 据 服 务 器 下 发 的 MD5 摘要 检查 
终端 用 户 是 否 运行 了 摘要 对 应 的 软件 。 对 必须 运行 的 某 个 进程 执行 MD5 检查 的 规则 : 在 
Windows 任务 管理 器 中 匹配 该 进程 对 应 的 进程 名 称 , 匹 配 iMC 中 配置 的 该 进程 对 应 的 MD5 
码 。 如 果 两 者 都 匹配 ,安全 检查 合格 ; 否则 安全 检查 不 合格 。 对 禁止 运行 的 某 个 进程 执行 
MD5 检查 的 规则 : 在 Windows 任务 管理 器 中 匹配 该 进程 对 应 的 进程 名 称 , 匹 配 iMC 中 配置 
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d 文件 MD5 搞 要 计算 吕 


请 选择 可 执行 文件 | 


C:\Program Files Tencent QQ QQProtect BinAQQProtect exe 


8-457 计算 MD5 摘要 


图 8-458 在 可 控 软 件 中 配置 


的 该 进程 对 应 的 MD5 码 。 只 要 两 者 有 一 个 匹配 ,安全 检查 就 不 合格 ; 反之 安全 检查 合格 。 
进程 的 复杂 检查 和 MD5 检查 方式 只 适用 于 Windows 操作 系统 ,Linux 和 Mac OS 不 支持 。 
© 查看 Windows 系统 服务 启动 状态 。 

对 于 Windows 操作 系统 ,iMC 服务 器 侧 可 控 软 件 组 配置 里 的 “服务 名 称 ” 必 须 与 单 击 “ 控 

制 面板 ”>“ 管 理工 具 ” 一 “服务 ”>“ 属 性 ”命令 后 的 服务 名 称 保持 一 致 ,如 图 8-459 所 示 。 对 于 

Linux 操作 系统 ,服务 名 称 必须 与 service-status-all 命令 结果 中 的 服务 名 称 保持 一 致 ; 对 于 

Mac OS, 服 务 名 称 必须 与 service-list 命令 结果 中 的 服务 名 称 保持 一 致 。 服 务 名 称 不 允许 包含 

LRA AEA" * 、) 等 特殊 字符 。 
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Ü Interactive Services Detection BR. sa ||| aaseiham 
Q Internet Connection Sharing (ICS) >. Bea sə [|| [esns am] 
IP Helper A. 已 启动 sm = 
Q rod is Pod. Bed FA Ceao SEa) EEN | [ REN 
(Ë IPsec Policy Agent Inter.. zA 当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 
Ĝi Juniper Network Connect Service Man. 已 启动 SM E 
(Q Kingsoft Core Service eea sa || S 

pp e oos => 

Yuspa / Cw J) j ( EQ) ] 


8-459 “服务 名 称 ” 与 “属性 ”服务 名 称 一 致 
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iMC 服务 器 侧 相 应 配置 如 图 8-460 所 示 。 


图 8-460 iMC 服务 器 侧 相应 配置 


@ 查看 Windows 系统 软件 的 安装 状态 。 
PC 可 控 软件 组 中 的 软件 名 称 必须 与 单 击 “ 控 制 面板 ”>“ 添 加 或 删除 程序 ”命令 后 软件 的 
名 称 保持 一 致 。 软 件 名 称 不 允许 包含 {、;、* 、} 等 特殊 字符 ,如 图 8-461 所 示 。 


GO-E, sms, er, erm ag! 
mein EERE 
坦 看 已 安 笑 的 更 新 霹 要 郑 载 程序 , 请 从 列表 中 插 其 运 中 , MEPS WE Er 或 
9 FARAD Windows 功能 „E 
从 网 党 安装 得 序 
an7 mm ER 
名 称 
Q 文 付 会 安全 控件 3.16.0.0 


2 H3C 产品 版 本 : 7.00.0102 
FERESE: httpy//www.h3c.com 
8-461 Windows 系统 软件 的 安装 状态 


®© 查看 Windows 系统 文件 的 存在 状态 。 
PC 可 控 软 件 组 中 配置 文件 时 ,文件 路 径 和 名 称 就 是 文件 的 绝对 路 径 十 文件 名 。 文 件 名 
需 包含 扩展 名 , 且 不 允许 包含 {、* al H< D>) ,如 图 8-462 所 示 。 


四 -|r 
B- BIF AR mke = 
育 eas == RB 修改 日 期 
BTE [S Impl Antivirustib.dli 2013/8/4 1040 
目标 位 置 : 。 iod。 Client / m. [© Impl Firewalltib.dll 2013/8/4 10:40 
ë — s 图 Impl HdEnctib.dli 2013/8/4 10:40 
BEM: muyuy itida Fiet e 3 miwan s me R] 
BE G): “C roo FierNiNodiNode Client as ee = Er 
Ro 无 LL EgiNode 2013/8/4 1040 
S m” DiNodevif 2013/8/5 15:25 
二 方式 中 ass Ba E inode. CrGlobaicig 2105/14 3541 
PA Bm asme 回 node_demounter 2010/5/14 15:11 
í des (S iNode_TestGinaHook-dli 2013/8/5 14:34 
国 inode utility.dil 2013/8/5 14:34 
m umn 图 inode_utilityULdlI 2013/8/5 14:34 
E mammie -E 
° iNode Client 伟 坟 日 后 2013/8/5 14:32 ARAR: 2013/12/17 8:51 
Lae J( ma j miai at 


图 8-462 文件 名 
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iMC 服务 器 侧 相应 配置 如 图 8-463 所 示 。 


| eE i — = m 加 
文件 路 径 和 名 称 “ 
别名 — S oo 
操作 系统 indows ~ 
关键 字 检 查 类 型 Ores Ormas Otras 
文件 说 明 — S ë 


8-463 iMC 服务 器 侧 相应 配置 


@ 查看 Android 系统 软件 的 安装 状态 。 

智能 终端 可 控 软 件 管理 当前 只 支持 Android 系统 的 软件 安装 管理 。 

并 且 智 能 终端 可 控 软 件 组 中 的 软件 名 称 必须 与 单 击 系统 的 “设置 >“ 应 用 程序 ”>“ 管 理 
应 用 程序 ”命令 后 软件 的 名 称 保持 一 致 。 软 件 名 称 不 允许 包含 {、;、* 、) 等 特殊 字符 ,如 图 8-464 
所 示 。 


< % 应 用 程序 o 
| -er | ye ) 
e aa 
102M8 
579M8 
A Qa 电 影 票 
499MB 
sen 
e QQ 通讯 录 
1747MB 
8-464 软件 名 称 规定 
iMC 服务 器 侧 相应 配置 如 图 8-465 所 示 。 


增加 软件 

软件 名 称 “ posee ®© 
别名 © 
软件 版 本 号 © 
软件 说 明 © 


8-465 ”相应 配置 


说 明 : Andriod 系统 新 版 本 查看 软件 名 称 的 路 径 为 :“ 设 置 ”>“ 应 用 程序 ”。 
(5) iNode 定制 功能 和 支持 列表 检查 
H3C iNode 包含 iNode PC( 包 含 Windows、Linux、Mac OS) .iNode DC iNode MC 3 种 。 
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针对 Windows 系统 的 iNode PC 客户 端 需要 先 安装 iNode 管理 中 心 , 然 后 根据 需要 定制 
iNode 安装 /升级 包 ,EAD 可 控 软 件 管理 功能 必须 依赖 iNode 客户 端 ,并 且 必 须 定制 EAD 功 
能 ,查看 方法 及 注意 事项 如 下 。 

O 查看 iNode PC 是 否定 制 了 EAD 功能 : 单 击 iNode 菜单 “信息 ”>“ 主 机 和 网 络 相 关 信 
息 ” 命 令 后 打开 如 图 8-466 所 示 对 话 框 ,查看 “客户 端 信息 ”标签 ,是 否 支 持 EAD。 


主机 和 网 络 想 关 信息 = 
网 上 | 路 由 表 信 息 | 2s janne 
版 本 : iNode PC 7.0 (E0101) 
功能 和 协议 组 件 
EEF 
| 智能 卡 = 
桌面 资产 管理 = 
802. lx 协议 是 
Portal 协 议 是 
L2TP IPsec VPN = 
无 线 协议 是 


[ wë J[ Wa 


图 8-466 “客户 端 信息 ”标签 


© iNode DC 即 可 溶解 客户 端 ,是 iNode PC 的 一 个 子 集 ,在 Portal 认证 场景 ,如 果 未 安装 
iNode PC, 但 是 要 使 用 可 控 软 件 管理 功能 , 则 需要 安装 部 署 可 溶解 客户 端 ,iNode DC 必须 先 在 
IMC 服务 器 侧 安 装 部 署 成 功 后 才能 使 用 ,如 图 8-467 所 示 。 


心 - 无 线 北 务 管理 对 ;了 系统 中 的 无 线 北 务 进行 管理 。 iNC WSH 5.1 (ED302H02) 
-分 支 网 点 管理 对 网 络 中 的 TR-069 设 备 进行 管理 。 NC BINS 5.1 SP1 (E0201P02) 
- 自动 配置 服务 器 与 网 络 中 的 TR-069 设 备 进行 交互 ， 支 .. ，_iC BINS 5.1 SP1 (F0201P02) 
- 自动 醒 置 服务 器 与 网 络 中 的 TR-069 设 备 进行 交互 ， 支 ,. 。 ic BINS 5.1 (E0201) 

- Porta 52 提供 Fortal 认 证 功能 * iNC UAN 5.1 (E0301) 
TERMS ARE. iNede DC 5.1 (0301) 
提供 终端 用 户 对 可 信 移动 介质 的 管理 功能 ic_THM 5.1 (E0301) 

理 报 文 的 转发 


iMC TRM 5.1 0301) 


iNode DC 5.1 (E0301) 


图 8-467 iNode DC 必须 在 iMC 服务 器 侧 安装 部 署 成 功 


© 针对 Linux, MAC OS 以 及 Android 系统 的 iNode 安装 包 默 认 具 有 EAD 功能 。 

当前 IOS 系统 的 iNode 还 不 支持 EAD, 故 也 不 支持 可 控 软 件 管理 。 

@ 查看 iNode 版 本 说 明 书 ,重点 阅读 版 本 使 用 限制 和 软件 特性 章节 ,如 图 8-468 所 示 。 

(6) PC 和 策略 服务 器 连通 性 检查 

在 开启 策略 服务 器 场景 ,即使 没有 开启 可 控 软 件 管理 功能 ,也 需要 确保 终端 PC 和 策略 服 
务 器 能 正常 双向 通信 ,和 否则 ,身份 认证 成 功 后 会 下 线 ,其 采用 UDP 协议 进行 通讯 ,策略 服务 器 
使 用 固定 (默认 为 9019) 端 口 监听 客户 端 消 息 ,iNode 客户 端 也 从 固定 监听 端口 (从 10102 开始 
递增 的 第 一 个 空闲 端口 ) 发 送 和 接受 报 文 。 如 果 中 间 有 防火 墙 ,需要 放 通 UDP 协议 报 文 。 对 
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支持 黑白 软件 检查 〔 仅 支持 Windows 操作 系统 ) 

支持 黑白 软件 运行 状态 MD5 检查 〔 仅 支持 Windows 操作 系统 ) 
支持 终端 运行 进程 检查 

支持 终端 运行 服务 检查 

支持 纯 白 软 件 〈 仅 支持 操作 Windows 系统 ) 

支持 终端 PC 文件 检查 


软件 ， 进 程 ， 服 
务 ， 文 件 管理 


图 8-468 iNode 版 本 说 明 书 


于 没有 禁 ping 的 环境 ,从 iMC 服务 器 上 ping 终端 PC 的 IP; 对 于 禁 ping 的 环境 ,有 两 种 方法 
确定 PC 和 策略 服务 器 的 连通 性 。 
D 可 以 在 策略 服务 器 和 终端 PC 侧 同时 抓 包 确定 是 否 能 正常 通信 ,如 图 8-469 所 示 。 


Destination port: 9019 (9019) 
Length: 142 
Checksum: Ox4b26 (correct) 
Data (134 bytes) 


8-469 正常 通信 


说 明 : 如 图 8-469 所 示 ,192. 168. 133. 2 为 终端 PC 的 IP,172. 16. 100. 122 为 策略 服务 器 
的 IP, 在 服务 器 和 PC 侧 同时 抓 包 可 以 看 到 其 UDP 报 文 的 详细 交互 过 程 。 

© 通过 iNode 和 策略 服务 器 的 日 志 确 定 。 

iNode 的 Detail 日 志文 件 secpkt. txt 如 下 。 


[2012-02-10 10:42:26] [DtICmn] [674] secPushInner: out-pkt [1] // 安 全 认证 请 求 报 文 
<i n="userName">szhl@iMC</i> 

<in="hwAddr">œ>18: A9 :05:DF:D4:0E</i> 

<i n="eventSeqID">>JOvPBgcC</i> 

[2012-02-10 10:42:27] [DtICmn] [1ba0] sndSecMsg: transfer [2] [11260]  // 安 全 认证 回应 报 文 
<i n="heartBeatInterval">720</i> 

<i n="heartBeatOutTimes">3 </i> 


策略 服务 器 调试 日 志 如 下 。 


2012-02-10 08:57:38 [策略 服务 器 ] [信息 (0)] [24] [ProxyRequestHandler: :run] szhl@iMC ; EAD 
认证 上 线 请 求 报 文 (1) ; kNIXeLUQ ; 18:A9:05:DF:D4:0E ; 192.168.133.2... 文 解析 成 功 

// 认 证 上 线 请 求 报 文 
2012-02-10 08:57:38 [策略 服务 器 ] [信息 (0)] [15] [RequestProcessor: : processRequest] szhl@iMC 
; EAD 认证 上 线 回应 报 文 (2) ; kNIXeLUQ ;18:A9:05:DF:D4:0E ; 192.168.133.2 ;... 

// 认 证 上 线 回应 报 文 


说 明 : 如 上 的 iNode 日 志 级 别 需要 设置 为 Detail 才能 看 到 具体 的 交互 报 文 (日 志 存放 路 
径 : CNProgram Files\H3C\iNode Client\CollectInfo\ * ), 同 理 , 策 略 服务 器 日 志 级 别 也 需要 
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设置 调试 才能 看 到 和 iNode 的 详细 报 文 交 互 (日 志 存 放 路 径 : iMC 安装 目录 \ead\logs\ 
policyserver_ **x* - ** - xx ); 关于 日 志 级 别 的 设置 方法 请 参考 其 他 文档 。 

(7) 身份 认证 测试 

身份 认证 成 功 后 才 会 发 起 安全 认证 ,在 EAD 安全 认证 前 ,必须 确保 能 身份 认证 成 功 ,如 
图 8-470 所 示 。 


e mauamww 2013-07-08 10:49:03 开始 进行 身份 验证 “，[x09910] 
— >. [2912-07-05 10:49:04 正在 上 传 用 户 密码 - 
z 2013-07-08 10:49:05 您 的 身份 验证 成 功 


8-470 ”身份 认证 测试 


说 明 : 如 果 身 份 认证 失败 ,请 参考 身份 认证 相关 云图 。 

(8) 接 入 设备 配置 排查 

如 果 身 份 认证 成 功 后 , 却 一 直 未 触发 安全 认证 ,这 里 需 分 两 种 情况 讨论 。 

O 如 果 接 入 设备 是 H3C 类 型 ,在 Portal 十 EAD 场景 , 则 设备 侧 的 Radius Scheme 方案 里 
的 Server-type 配置 Extended|Standard 都 可 以 。 在 Dotlx 十 EAD 场景 , 则 Radius Scheme 方 
案 里 的 Server-type 可 以 配置 Standard, fB: Dotlx Authencation-method 必须 配置 为 EAP F 
能 触发 EAD 认证 ,但 是 无 法 给 设备 下 发 ACL 和 VLAN 进行 授权 ,如 果 ACL 下 发 给 iNode 不 
受 影响 , 故 , 接 入 设备 是 H3C 类 型 ,在 EAD 开局 中 ,建议 将 Radius Scheme 的 Server-type 配 
置 为 Extended。 

@ 如 果 接 人 设备 是 第 三 方 厂商 ,由 于 不 支持 Portal 认证 ,在 802.1x 认证 场景 
Authentication-method 必须 配置 为 EAP 方式 ,否则 不 会 触发 安全 认证 。H3C 设备 配置 方法 
如 图 8-471 所 示 。 


adius scheme test 

server-type extended 

yr-121-Coreldotix authentication-method eap 
EAP authentication is enabled 


8-471 H3C 设备 配置 


说 明 : 结合 第 三 方 设备 实施 EAD 解决 方案 ,Dotlx 十 EAD 场景 ,Dotlx authentication- 
method 必须 配置 为 EAP, 如 果 是 L2TP VPN 十 EAD, 则 接 入 设备 必须 为 H3C 设备 ,因为 第 三 
方 设备 的 Radius Scheme 不 支持 Extended, 且 VPN 认证 方式 不 支持 EAP, 故 不 支持 EAD。 


$ ze 


8 ET) 
a 
配置 模板 


PE 设备 获取 
了 著 地 址 /cwwg 


配置 


400-310-0504 
寻 示 帮助 


paoe 
设备 配置 
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MC eS TB fo aq AE. 8.1.36 iMC BIMS 组 件 R 
08 iMC 管理 软件 8.1 业务 软件 : iMC 间 题 分 析 步骤 详解 


1. 开始 

分 支 网 点 管理 (Branch Intelligent Management System,BIMS) 通 过 TR-069 协议 对 CPE 
进行 远程 集中 管理 ,能 够 解决 CPE 量 大 ,动态 IP 等 管理 困难 ,节约 维护 成 本 ,提高 问题 解决 效 
率 ,以 满足 对 CPE 在 运营 商 解 决 方案 中 的 管理 需求 。 

日 常 局 点 对 IMC BIMS 组 件 的 使 用 主要 有 部 署 .CPE 设备 添加 、CPE 配置 推送 以 及 CPE 
配置 的 备份 等 过 程 细节 。 本 流程 也 将 以 上 述 BIMS 的 使 用 过 程 细节 为 主线 ,将 开局 以 及 运 维 
中 可 能 遇 到 的 问题 做 一 详细 说 明 。 

说 明 : iMC 服务 器 在 网 顺利 运行 的 前 提 之 一 便 是 iMC 服务 器 的 安装 部 署 符合 相关 规范 。 
在 iMC BIMS 使 用 前 请 先 判 断 MC 服务 器 的 物理 性 能 是 否 足够 承载 相关 业务 ,重要 组 件 是 否 
分 布 式 部 署 。 相 关 部 署 要 求 规范 请 参考 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 》。 

2. 流程 图 相关 操作 说 明 

(1) iMC BIMS 侧 配置 设备 配置 模板 

局 点 使 用 iMC BIMS 组 件 的 目的 之 一 便 是 用 其 来 向 数量 巨大 的 局 端 CPE 设备 推送 相关 
配置 , 且 不 论 是 否 为 BIMS 零 配置 开局 要 实现 该 功能 的 前 提 便 是 在 BIMS 侧 配置 好 相关 配置 
模板 。 登 录 iMC 首页 ,依次 单 击 * 业 务 ?” 一 分支 网 点 管理 ”配置 管理 ”配置 模板 库 ? 一 
“增加 配置 模板 ”命令 便 可 创建 一 CPE 配置 模板 。 本 例 中 ,配置 模板 的 内 容 为 修改 CPE 设备 
的 设备 名 称 ,配置 模 板 名 称 为 “device_name_modify. cfg”, 具 体 配置 如 图 8-472 所 示 o 


F 业务 > 分 支 网 点 管理 > 配置 管理 > 配置 模板 库 > 增加 配置 模 板 


增加 配置 模板 
模板 名 称 * device_name_modily dg @ 
arant REHA - 
Bm. $f = 
目标 文件 赤 MER = 
aars 
iig mms 
说 明 [ERCPER RANAR EAR 


三 一 《提示 


为 提高 配置 模板 的 重用 性 ， 配 置 内 容 可 以 带 有 奖 旦 ， 当 部 团 该 配置 模板 时 设置 交 旦 的 内 容 印 可 。 

变量 格式 : SEAH). 如 : SHIP Address}， 当 部 署 该 配置 模板 时 ， 输 入 "IP Address EERE 
变量 名 称 前 后 空格 会 被 恕 赂 ， 即 参数 $ 参 数 名 称 } 和 Sf{ 参数 名 称 种 为 同一 个 参数 
变 鲁 的 名 称 不 能 使 用 不 可 见 字符 及 如 下 字符 : $Q， 以 便 交 量 能 被 正常 识别 。 


jsystem-view a 
sysname $(sysname) 


8-472 ”模板 配置 


相关 参数 配置 好 之 后 , 单 击 “确定 ”按钮 , 便 可 在 单 击 “ 业 务 ”>“ 分 支 网 点 管理 ”>“ 配 置 管 
理 ”>“ 配 置 模板 库 ” 命 令 后 的 目录 下 看 到 该 新 建 的 配置 模板 库 及 其 对 应 的 描述 信息 ,如 
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图 8-473 所 示 。 


B 业务 > 分 支 网 点 管理 > 配置 管理 > 配置 模 要 库 


TAR 
模板 名 称 | asaz Be +j 
目标 文件 夫 FE =| omm ç s 
增加 SA HR M BA mume 
o 楼 板 名 称 人 == 创建 时 间 e gm 人 Ef 
m Detaunt Folder RAR 2014-11-01 1243:37 入 定义 文件 夫 用 于 存放 系统 预定 义 队 置 片 把 * 
[Ei] 配置 片段 2014-11-01 16:20:00 以 CPE 设 备 的 设备 名 称 si 
e IERT TRTE aant 


8-473 ”新 建 模板 库 及 描述 信息 


(2) 是 否 为 BIMS 零 配置 开局 

是 否 为 BIMS 零 配置 开局 主要 指 的 是 设备 在 加 电 启 动 之 后 ,配置 内 容 中 已 经 包含 了 TR- 
069 协议 相关 配置 , 且 其 他 设备 运行 配置 由 BIMS 再 次 推送 。TR-069 配置 可 配置 的 方式 有 
CLI 命令 行 配置 .U 盘 启 动 配置 .DHCP Option 43 属性 下 发 配置 以 及 配置 短信 推送 。 具 体 选 
择 何 种 方式 来 实现 BIMS 零 配置 ,需要 参考 局 点 现场 的 网 络 环境 。 由 于 篇 幅 所 限 ,本 例 中 后 续 
将 以 DHCP Option 43 属性 为 例 说 明 。 

(3) 虚拟 CPE 添加 /自动 部 署 CPE 配置 

在 实现 BIMS 零 配 置 的 场景 下 ,需要 在 BIMS 上 创建 一 虚拟 CPE 以 及 一 针对 该 虚拟 CPE 的 
自动 部 署 任务 。 该 虚拟 CPE 包含 了 将 来 要 添加 的 实体 CPE 的 OUI 以 设备 序列 号 信息 , 当 实 际 
CPE 加 入 到 BIMS 时 ,系统 会 自动 调用 先前 创建 的 配置 部 署 任务 ,将 相关 配置 推送 到 实际 CPE。 

登录 iMC 首页 ,依次 单 击 * 业 务 ”* 分 支 网 点 管理 ”增加 CPE” 命 令 , 如 图 8-474 所 示 。 


S > 分支 网 点 管理 > 增加 CPE 

CPE 

基本 信息 
WEE waooo 
oui Beam @ 
maia pozsa © 
ACS 用 户 名 imcbims 
ACE eeee .. 
cs pe | 
crems Facssm -| 
CPE 组 z 

az BA Ramo © 


图 8-474 “增加 CPE” 


相关 CPE OUI 以 及 序列 号 可 以 通过 在 CPE 设备 执行 如 下 命令 获取 。 


[CPE] display device manuinfo 
Slot 2: 


Er: MC 管理 软件 1197 


DEVICE_NAME : S5800-56C 
DEVICE_SERIAL_NUMBER : 210235A377H11A000105 
MAC_ADDRESS : CACA-D9B9-AF38 
MANUFACTURING_DATE : 2012-05-24 
VENDOR_NAME "HC 


或 者 也 可 以 查看 设备 机 框 上 的 条 码 等 信息 ,如 图 8-475 所 示 。 


图 8-475 设备 机 框 上 的 条 码 


说 明 : 该 种 方式 下 增加 虚拟 CPE,acs 用 户 名 以 及 密码 必须 同 设备 上 配置 的 cwmp acs 
username 以 及 cwmp acs password 一 致 ,否则 可 能 会 存在 CPE 无 法 自动 识别 的 情况 。 

如 选择 了 图 8-474 中 的 快速 增加 CPE, 则 仅 需 输入 CPE 设备 的 OUI 以 及 序列 号 即 可 ,acs 
用 户 名 以 及 密码 信息 , 则 调用 BIMS 系统 参数 中 的 配置 ,本 文 不 青 效 述 。 

登录 iMC 首页 ,依次 单 击 “ 业 务 ”>“ 分 支 网 点 管理 ”一 “配置 管理 ”>“ 部 署 向 导 ” 一 “自动 
部 署 CPE 配置 ”>“ 按 CPE” 命 令 , 填 写 相 关 参 数 后 ,如 图 8-476 所 示 。 


"fs 自动 部 署 CPE 卫 置 1. 选择 部 署 CPE > 2 mEEN > 3 设置 任务 属性 
选 掺 部 署 CPE 


“提示 


本 配置 任务 中 ， 运 行 配置 M 没 有 该 限制 


选取 配置 模板 

Fira RER - 

文件 名 称 Gevice_name_modiy cig ` 
部 署 策略 

部 署 文件 类 型 运行 配置 ` 
部 署 CPE 


选取 CPE 全 部 移 除 


CPE 名称 r 序列 号 Piet 检查 结果 
wualL_CPEO1 Hac 2102354377H11A000105 =. 
KÈ DA 


8-476 ”填写 相关 参数 


1198 根 叔 的 云图 一 一 网 络 故障 大 排查 


单 击 “ 下 一 步 ” 按 钮 ,输入 配置 模板 中 的 变量 sysname 的 值 即 可 ,如 图 8-477 所 示 o 


fe 自动 部 署 CPE 醒 置 1. 选择 部 署 CPE > 2 配置 参数 > 3. 设置 任务 属性 
配置 参数 -virtual_CPE01(c4cad9-210235A377H11A000105) 


sysname [CPEO1 


mb 
8-477 输入 配置 模板 变量 sysname 的 值 


依次 根据 部 署 指导 单 击 “ 确 认 ” 按 钮 即 可 创建 该 任务 。 
(4) CPE 设备 侧 TR-069 配置 

CPE 设备 侧 TR-069 主要 配置 如 下 。 
# 

cwmp 

cwmp acs url http: //192.168.1.10:9090 
cwmp acs username imcbims 

cwmp acs password imcbims 

cwmp cpe inform interval enable 

cwmp cpe inform interval 60 

cwmp cpe wait timeout 100 

cwmp cpe username cpe 

cwmp cpe password cpe 


cwmp cpe connect interface Vlan-interfacel 


# 


上 述 命令 配置 的 具体 含义 请 参考 相关 产品 的 配置 手册 ,本 文 不 再 袭 述 。 

说 明 : 

(Q) cwmp cpe username/passworf 命令 配置 内 容 主 要 为 ACS 向 CPE 主动 发 起 连接 时 验 
证 所 用 ,如 无 该 需求 ,该 配置 可 以 省 略 。 

© 在 iMC 首页 依次 单 击 “ 业 务 ” 一 “分 支 网 点 管理 ”>“ 系 统 配 置 ">“ 系 统 参 数 ” 命 令 , 通 
用 密码 状态 选择 启用 且 未 配置 虚拟 CPE 时 ,cwmp acs username 无 实际 意义 。 该 处 通用 密码 
需要 与 cwmp acs password 配置 一 致 。 

@ 其 他 配置 参数 可 随 现场 环境 做 适当 调整 。 

(5) DHCP Option 43 属性 配置 

DHCP Option 43 属性 主要 用 于 DHCP 服务 器 在 CPE 获取 IP 地 址 时 附带 TR-069 配置 
信息 。 该 配置 在 H3C 设备 和 其 他 DHCP 服务 器 均 可 实现 ,本 文 以 H3C 设备 为 例 , 配 置 过 程 
有 acs URL Option 43 转换 以 及 H3C 设备 DHCP 服务 器 配置 。 

登录 iMC 首页 ,依次 单 击 “ 业 务 ”>“ 分 支 网 点 管理 ”>“ 系 统 配置 ”>“Option 工具 ”命令 ， 
Hi ACS 的 URL 以 及 ACS 用 户 名 密码 信息 , 单 击 “ 转 换 ” 按 钮 即 可 将 这 类 信息 转换 为 
Option 43 属性 字段 ,如 图 8-478 所 示 。 
登录 H3C 设备 CLI 命令 行 ,配置 内 容 如 下 。 
# 
dhcp server ip-pool tr-069 


network 172.16.0.0 mask 255.255.255.0 
gateway-list 172.16.0.1 


EEE iMC 管理 软件 


1199 


option 43 hex 01286874 74703A2F 2F313932 2E313638 2E312E31 323A3930 39302069 6D636269 


6D732069 6D636269 6D73 
# 


Return 


SN 业务 > 分 赤 网 点 管理 > OptonT R 


Option 工 具 

转换 类 型 DRL 转换 为 Option 43 ç 

DHCP 服 务 器 类 型 IH3ciR 音 = 
ittp:/1192.168.1.12:9090 imcbims imcbims 

ACSURL * @ 
ption 43 hex 01286874 74703A2F 2F313932 2E313638 2E312E31 

39302069 6D636269 6D732069 6D636269 6D73 
DHCP Option 43 @ 


8-478 


“Option T R.” 


(6) CPE 设备 获取 IP 地 址 /CWMP 配置 
BIMS 零 配置 场景 下 ,CPE 设备 加 电 启 动 之 后 ,会 自动 向 DHCP 服务 器 获取 IP 地 址 信 
息 , 本 例 中 CPE 设备 分 别 执行 display ip interface brief 以 及 display cwmp status 可 查看 设备 
地 址 获取 情况 以 及 CWMP 学 习 情 况 如 图 8-479 所 示 。 


ua 转换 


CPE]display ip interface brief 
*down: administratively down 
(s): spoofing 

Interface 


[cPE]display cwmp status 


TR-069 is enabled. 

ACS URL 

ACS information is set by 

ACS username 

ACS password 

Connection status 

Data transfer status 

Time of last successful connection 
Interval upon to next connection 


Physical Protocol IP Address 
down d 2.3.0.2 


GigabitEthernet2/0/1 jown 
Gigabitethernet2/0/2 down down 1.2.0.2 
GigabitEthernet2/0/32 down down unassigned 
Gigabitethernet2/0/47 down down unassigned 
GigabitEthernet2/0/48 down down, 192.168.0.2 
LoopBack0 up up(s) 
Vlan-interfacel up up 


/192.168.1.12:9090 


:imcbims 
:disconnected 

:none 
:2000-04-26T14:42:26 
:303s 


Description 
GigabitEt... 
GigabitEt... 
GigabitEt... 
GigabitEt. 
GigabitEt... 
LoopBacko. . . 
Vlan-inte... 


8-479 CPE 设备 获取 IP 地 址 /CWMP 配置 


(7) iMC BIMS 是 否 添加 CPE 


iMC BIMS 默认 将 向 其 发 起 加 入 请 求 的 CPE 设备 添加 到 本 地 CPE 设备 列表 中 。 

正常 情况 下 ,在 非 BIMS 零 配置 场景 中 ,做 了 如 上 配置 之 后 ,在 BIMS“ 所 有 CPE” h nf P, 
查看 到 已 经 成 功 发 现 相 关 CPE 设备 ,如 图 8-480 所 示 。 

如 果 未 自动 发 现 该 CPE 设备 ,请 参考 本 流程 后 续 步 又 。 

在 BIMS 零 配 置 场景 下 , 则 可 以 看 到 先前 创建 的 虚拟 CPE virtual_CPE01 以 及 成 功 添加 


于 BIMS 中 ,如 图 8-481 所 示 。 


在 CPE 设备 上 不 断 查看 CWMP 状态 , 则 可 以 看 到 CPE 设备 sysname 名 称 已 经 变化 ,如 


图 8-482 所 示 。 


1200 根 起 的 云图 一 一 网 络 故障 大 排查 
可 业务 > 分支 网 点 管理 > 所 有 CPE Hima Ora 
OPERI FS 
me cens MA = 


ra Piet alila aiia 


W ° CPE 名 称 NATCPE 序列 号 ° ”型 号 9 厂商 $ IP 地 址 > ”上 次 访问 时 间 APAI 操作 
| 
377H11A000105 Š 210235A3... $5800 — H3C 1724.. 2014-41-0.. 成 功 


8-480 ”查看 已 经 成 功 相 关 CPE 设备 


de 业务 > 分 支 网 点 管理 > 所 有 CPE 


NAT CPE 序列 号 ° £ 。 上 次 访问 时 间 同步 结 操作 
e. virtual _CPE01 = 本 bs 2014-11-0... 


8-481 BIMS 零 配置 场景 


CPE-Vlan-interfaceljdis cwmp sta 
CPE-Vlan-interfacel]dis cwmp status 


TR-069 is enabled. 

ACS URL 

ACS information is set by 

ACS username 

ACS password 

Connection status 

Data transfer status 

Time of last successful connection 
Interval upon to next connection 


:http://192.168.1.12:9090 
DHCP 


ne 
000-04-27T12:00:35 
15855 


[cPE-V1an-interfacel]dis cwmp status 
TR-069 is enabled. 
S URL 


AC: 

ACS information is set by 
ACS username 

ACS password 

Connection status onnected 
Data transfer status 

Time of last successful connection 
Interval upon to next connection 


:http://192.168.1.12:9090 
DHCP 


84s 
[cPE01-vlan-interfacel]dis cwmp status 


TR-069 is enabled. 

ACS URL 

ACS information is set by 
ACS username 

ACS password 

Connection status 

Data transfer status none 
Time of last successful connection :2000-04-27T12:00:35 
Interval upon to next connection 15835 


:http://192.168.1.12:9090 
DHCP 


8-482 CPE 设备 sysname 名 称 变化 


b iMC 管理 软件 1201 


如 果 未 自动 发 现 该 虚拟 CPE 设备 或 者 配置 推送 失败 ,请 参考 本 流程 后 续 步 又 。 

(8) iMC BIMS 进程 是 否 运行 正常 

在 前 述 步 又 都 正确 的 情况 下 ,可 能 出 现 BIMS 未 正确 识别 CPE 的 情况 ,其 中 可 能 的 原因 
之 一 便 是 BIMS 进程 本 身 运 行 异 常 。 

在 BIMS 服务 器 侧 执行 netstat -aon | findstr 0. 0. 0. 0:9090 便 可 检测 该 端口 的 占用 情 
况 ,如 图 8-483 所 示 。 


全 SERE _ 


Windows [RF 6.1.26001 
2009 Microsoft Corporation 


rs 
命 
r 


or>netstat -aon ! findstr 0.0.0.0:9090 
6.8.9.8:8 LISTENING 


:sers\Adninistr 
TCP 8.8.8.8:9 


图 8-483 ”端口 占用 情况 


以 本 例 为 例 ,通过 任务 管理 器 中 查看 进程 PID 4644 和 java. exe 即 可 。 
也 可 以 通过 查看 部 署 监控 代理 中 bimsserver. exe 进程 是 否 运行 正常 来 判断 BIMS 系统 是 


否 运行 正常 。 
(9) BIMS 进程 问题 排查 /日 志 收 集 
某 些 情况 下 ,iMC 部 署 监控 代理 中 bimsserver. exe 进程 无 法 启动 ,提示 “Web 服务 端口 已 
经 被 其 他 程序 占用 。”, 如 图 8-484 所 示 。 
Oreceiver exe 已 经 自动 本 机 0 49, 840 2014-10-30 10:04:55 可 管理 进程 自动 
本 机 0 物理 内 存 : 49840.0j0:04:25 可 管理 进程 自动 
En 0 324, 936 2014-10-30 10:02:43 可 管理 进程 自动 
*morerver 本 机 0 229, 748 2014-10-30 10:02:43 可 管理 进程 自动 


图 8-484 Web 服务 端口 已 经 被 其 他 程序 占用 


查询 占用 9090 端口 的 进程 后 ,发 现 该 端口 被 iNodeMngChecker. exe 进程 占用 ,如 
图 8-485 所 示 。 


prs\Adninistr 


Administr etsta ifindstr 0.0.0.0:9090 
0.0.0.60:989 -0. LISTENING 


Administrator)tasklist 


rs Administr 


图 8-485 查询 占用 9090 端口 的 进程 


出 现 该 问题 的 原因 为 iNode 管理 中 心 和 BIMS 服务 器 部 署 在 同一 台 物 理 服 务 器 ,所 以 在 
日 常 开局 中 ,尽量 避免 出 现 该 问题 。 

如 果 端 口 未 被 占用 而 bimsserver. exe 进程 仍 未 启动 , 则 可 能 存在 无 法 连接 数据 库 等 其 他 原 
因 , 针 对 此 类 问题 ,请 反馈 iMC PLAT 版 本 信息 .BIMS 版 本 信息 以 及 \iMC\server\conf\log 目 
录 下 bimsdm. log 和 imcbimsdm. txt 日 志 。 

(10) iMC BIMS 服务 器 防火 墙 是 否 关 闭 

某 些 情况 下 ,bimsserver. exe 进程 运行 正常 ,但 仍 可 能 出 现 BIMS 未 正确 识别 CPE 的 情 
况 。 可 以 通过 在 CPE 侧 telnet BIMS 服务 器 9090 端口 来 测试 CPE 侧 到 BIMS 的 防火 墙 情 


1202 根 叔 的 云图 一 一 网 络 故障 大 排查 


况 , 如 果 telnet 显示 如 下 , 则 认为 网 络 无 问题 。 


<CPE> telnet 192.168.1.12 9090 

Trying 192.168.1.12 ... 

Press CTRL+K to abort 

Connected to 192.168.1.12 ...HTTP/1.1 400 Bad Request 
Content-Length: 0 

Connection: close 

Server: Jetty(9.1.4.v20140401) 


如 果 telnet 显示 如 下 , 则 认为 网 络 中 存在 防火 墙 。 


The connection was closed by the remote host! 
<CPE> telnet 192.168.1.12 9090 

Trying 192.168.1.12 ... 

Press CTRL+K to abort 

Failed to connect to the remote host! 


(11) 关闭 iMC BIMS 服务 器 防火 墙 或 者 端口 放 通 


本 步骤 为 日 常 的 网 络 排 错 操作 ,防火 墙 检查 涉及 BIMS 操作 系统 防火 墙 以 及 网 络 中 防火 


墙 策略 ,本文 不 再 袭 述 。 
(12) TR-069 报 文 是 否 正常 /内 容 正 确 


在 极 少 情况 下 ,可 能 有 CPE 设备 上 送 给 BIMS 服务 器 TR-069 报 文 异常 导致 CPE 设备 无 
法 添加 的 情况 。 报 文 异常 可 能 有 TR-069 未 携带 OUI 或 未 携带 设 序列 号 导致 。 图 8-486 所 示 
为 日 常 问 题 处 理 中 见 到 的 一 个 报 文 异常 范例 抓 包 , 抓 包 中 TR-069 报 文 缺 失 设 备 序列 号 ,与 本 


文中 所 涉及 的 实验 无 关 。 


Stream Content. 


POST / HTTP/1.1 

Connection: Keep-Alive 

Host: 172.16.0.22:9090 

User-Agent: H3C 

Content-Length: 3895 

Content-Type: text/xml; charset="utf-8" 
SoapAction: Inform 


<SOAP-ENV: Envelope xmlns:xsd="http: //www;w3- org/2001/x4r Schema" 
xmlns:xsi=' 


<SOAP-ENV:Header> 
<Cwmp :ID SOAP-ENV:mustUnderstand="1"”>1</cwmp:ID> 
</SOAP-ENV:Header> 
<S0AP-ENV: Body> 
<cwmp:Inform> 
<DeviceId> 
<Manufacturer></Manufacturer> 
<OUI>000FE2</OU. 


= ass> 
erialNumber></SerialNumber> 


</D 
<EVent SOAP-ENC:arrayType=" cwmp:EventStruct[1]"> 
<EventStruct> 
<EventCode>1 BOOT</EventCode> 
<CommandKey></CommandKey> 


"http://www. w3. org/2001/XMLSchema- 


instance" 
xmlns : cwmp="urn: ds Ifor um-org : cwmp-1-0" 
ea Xm1ns: SOAP-ENV= Merp:// Schedas" xglsoap. org/soap/ 
envelope, 
ë xmlns:SOAP-ENC="http://schemas. xmlsoap. org/soap/ 
encoding/ "> 


Entire conversation (10428 bytes) 


Bnd | SaveAs | pim JOAscH © EBcpiC = © Hex Dump 


8-486 ” 报 文 异常 范例 抓 包 
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(13) 抓 包 收 集 / 日 志 收 集 

步骤 (12) 中 所 述 问 题 的 出 现 概率 极 小 且 较 难 判断 ,一 般 情况 下 需要 提供 抓 包 i MC PLAT 
版 本 信息 、BIMS 版 本 信息 以 及 \iMC\server\conf\log 目录 下 bimsdm. log 和 imcbimsdm. txt 
卓志 

bimsdm. log 以 及 imcbimsdm. txt 日 志 建 议 为 DEBUG 级 别 , 日 志 级 别 调整 须 在 BIMS £ 
统 参数 配置 中 将 ACS 运行 日 志 调 整 为 DEBUG, 如 图 8-487 所 示 。 


ACS 运 行 日 志 


ACS 日 志 级 别 imt ` 
iacsigx 
输出 CPE 报 文 


z| E 


8-487 ACS 运行 日 志 调 整 


(14) 配置 是 否 推送 到 CPE/BIMS 页 面 操作 CPE 是 否 成 功 

该 类 问题 常见 于 非 BIMS 零 配置 场景 ,在 BIMS 页 面 针 对 CPE 做 某 些 操 作 以 及 将 配置 推 
送 到 CPE 设备 本 质 相同 ,本 例 中 就 合 二 为 一 分 析 。 出 现 该 类 问题 可 能 原因 较 多 ,请 参考 后 续 
问题 处 理 步 又 。 

(15) CPE 设备 类 型 是 否 为 NAT 设备 

BIMS 与 CPE 设备 之 间 建 立 连接 主要 有 两 种 方式 : 一 是 CPE 发 送 inform 报 文 与 BIMS 
侧 的 TCP 9090 端口 发 起 连接 。 二 是 BIMS 发 送 inform 报 文 与 CPE 侧 的 TCP 7547 端口 发 起 
连接 。 正 是 由 于 方式 一 的 场景 , 才 使 得 BIMS 可 以 管理 NAT 内 网 的 CPE 设备 。 

当 设备 实际 为 NAT 设备 时 ,由 于 路 由 协议 等 本 身 的 限制 ,BIMS 是 无 法 立即 向 CPE 推送 
配置 的 。 所 以 设备 实际 上 是 否 为 NAT 设备 ,对 BIMS 向 设备 推送 配置 /操作 等 动作 也 是 有 很 
大 的 影响 。 

(16) iMC BIMS 侧 CPE 设备 类 型 是 否 显 示 正 确 

某 些 情况 下 ,设备 实际 上 为 非 NA T 设备 ,但 在 BIMS 侧 却 显示 为 NAT 设备 ,该 问题 会 对 
BIMS 日 常 的 使 用 造成 影响 ,要 想 解决 该 问题 请 参考 步骤 (17) 。 

(17) CPE 设备 侧 TR-069 配置 优化 

BIMS 判断 设备 是 否 为 NAT 设备 主要 依据 TR-069 报 文中 的 源 IP 地 址 以 及 报 文 载荷 中 
的 CPE URL 信息 。 当 报 文 源 IP 地 址 和 URL 中 IP 地 址 信息 不 一 致 时 ,BIMS 判断 该 设备 为 
NAT 设备, 当 二 者 信息 一 致 时 ,BIMS 判断 设备 为 非 NAT 设备 。 

默认 情况 下 ,系统 会 采用 一 定 的 机 制 去 获取 一 个 CWMP 连接 接口 ,可 能 存在 该 CWMP 
链接 接口 地 址 与 报 文 源 IP 地 址 不 一 致 的 情况 ,在 此 情况 下 ,需要 指定 CPE 侧 CWMP 连接 接 
口 ,具体 命令 如 下 。 


[CPE-cwmp]cwmp cpe connect interface XXX 


(18) 配置 部 署 任务 调度 方式 修改 

BIMS 部 署 任务 的 调度 方式 分 为 立即 执行 .定时 执行 以 及 尽快 执行 。 当 CPE 设备 为 
NAT 设备 时 ,连接 的 发 起 方 为 CPE 设备 ,所 以 调度 方式 为 立即 执行 或 定时 执行 可 能 会 导致 任 
务 部 署 失 败 , 需 要 将 任务 的 调度 方式 调整 为 尽快 执行 ,如 图 8-488 所 示 。 
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"f SEECPERE 1 选择 部 署 CPE > 2 RESH > 3 设置 任务 属性 
设置 任务 属性 


任务 名 称 “ 性 务 2014-11-02 16:11:27 @ 
任务 类 型 部 署 CPE 醒 置 片段 

调度 方式 Et ` 
调度 时 间 
FARE 


k=... R... J mA... 
8-488 配置 部 署 任务 调度 方式 修改 


(19) iMC BIMS 与 CPE 非 NAT 类 型 情况 下 是 否 互通 
在 非 NAT 环境 下 ,BIMS 向 设备 推送 配置 失败 的 原因 可 能 有 BIMS 无 法 主动 与 设备 建立 
连接 ,该 种 情况 下 ,BIMS 的 打印 出 如 下 内 容 。 


2014-11-02 16:37:30 [ERROR] [bimsSenConnectionRequestTaskExecutor-1] [com. ime. bims. acs. 
commons. HTTPUtils: : sendConnectionRequest] Connect to http://172. 16. 0. 2: 7547/cpe fail, 
user=, pwd=, IOException. 
2014-11-02 16:37:30 [ERROR] [bimsSenConnectionRequestTaskExecutor-1] [com. ime. bims. acs. 
task. func. TaskMgrImpl $ 1: : run] Create task exception: com. imc. bims. commons. AcsException: 
Connection to http://172.16.0.2:7547 refused 

2014-11-02 16:37:30 [DEBUG] [bimsSenConnectionRequestTaskExecutor-1] [com. ime. bims. acs. 
task. func. TaskMgrImpl $ 1: :run] Create task exception: 

com. imc. bims. commons. AcsException: Connection to http://172.16.0.2:7547 refused 


从 部 署 任务 的 页 面 报错 也 可 以 看 到 类 似 如 图 8-489 所 示 信 息 。 


Mdh > 分 过 网 点 管理 ”部署 任务 > 查看 任务 要 行 二 虹 一 任务 2014 11.02 16:37:02 


Dmh 
W&unhnumw | 
CPE 名称 人 Piit ° CPE 所 行 开始 时 间 7 — ceken © BRS S 
ckcad9-210235A377H11A000105 1721602 - 2014-11-02 163730 


HARR, 当前 第 1-1, W 111 页 > 
BERDINA: 2014-11-02 16 38 20 


8-489 ”页 面 报错 


出 现 该 中 情况 的 主要 原因 有 三 点 : 一 是 网 络 中 存在 防火 墙 ,未 放 通 BIMS 至 CPE 侧 的 
TCP 7547 端口 。 二 是 设备 本 身 CWMP 由 于 某 种 原因 关闭 ,在 CWMP 视图 下 配置 cwmp 
enable 即 可 。 三 是 BIMS 侧 和 设备 侧 的 CPE 用 户 名 密码 配置 不 一 致 。 由 于 出 现 该 种 情况 的 
场景 排查 较为 简单 ,本 文 不 青 闭 述 。 

(20) BIMS 服务 器 是 否 开启 IPv6 协议 栈 

BIMS 目前 不 支持 IPv6 协议 ,如 果 服 务 器 有 多 个 网 卡 且 使 能 IPv6 协议 , 则 可 能 出 现 对 
CPE 进行 操作 提示 超时 的 现象 ,出 现 该 问题 请 参考 步骤 (21) 。 

(21) HI IPv6 协议 栈 /BIMS 配置 文件 修改 

请 禁止 使 能 服务 器 网 卡 的 IPv6 协议 。 

如 果 客 户 现场 有 IPv6 业务 无 法 禁用 IPv6 协议 , 则 可 以 通过 修改 BIMS 后 台 配 置 文件 规 
避 , 具 体内 容 如 下 。 


BG: MC 管理 软件 1205 


修改 文件 包括 : 


iMC\client\conf\bimsmsgcomm. properties 
修改 #msg. master. addr = 192.168.1.10 
为 msg. master. addr = 127.0.0.1 
iMC\server\conf\bimsserver. properties 
修改 # msg. master. addr = 192.168.1.10 


为 msg. master. addr = 127.0.0.1 // 该 地 址 为 127.0.0.1 
修改 #msg. slave.addr = 192.168.1.10 
为 msg. slave.addr = 127.0.0.1 


//msg. slave. addr 地 址 为 BIMS 部 署 地 址 , 如果 为 集中 式 , 则 为 127.0.0.1 
(22) 是 否 备份 CPE 设备 配置 


CPE 设备 配置 备份 为 BIMS 常用 功能 之 一 ,操作 员 创 建 备份 配置 任务 ,系统 会 按照 执行 
周期 定时 执行 备份 ,操作 员 也 可 以 根据 需要 立即 执行 备份 。 调 度 方式 分 为 立即 .定时 和 周期 性 
执行 。 

(23) 备份 CPE 设备 配置 

登录 iMC 首页 ,依次 单 击 “ 业 务 ” 一 “分 支 网 点 管理 ”一 “配置 管理 ”>“CPE 配置 备份 ”一 


// 该 地 址 为 127.0.0.1 


“增加 CPE 配置 备份 任务 ”命令 ,填写 相关 参数 之 后 便 可 成 功 创建 一 设备 配置 备份 任务 ,如 
图 8-490 所 示 。 
E 业务 > 分 网 点 管理 > MANR > CPE 取 加 备份 ”增加 CPERR 轩 备份 任务 
任务 属性 
基本 信息 
任务 名 称 ” Be conig_bak ]@ 
调度 方式 ” Ee - 
执行 方式 
tps RRR © 
CPESIE 
ämne _ 2s -7 
CPE 名 称 厂商 序列 号 IP 地 址 
54cad9-210235A377H11A000105 H3C 210235A377H11A000105 172.16.0.2 
HARER 当前 第 1-1, 第 1 页 。 [J 可 加 


8-490 备份 CPE 

说 明 : 设备 类 型 为 NAT 设备 时 请 选择 尽快 执行 ,一 般 情 况 下 我 们 也 建议 执行 方式 配置 为 
尽快 执行 。 

(24) CPE 设备 配置 是 否 备份 成 功 

可 以 在 单 击 “业务 ”分支 网 点 管理 "~ 备份 历史 记录 ”一 “backup01? 命 令 后 查看 备份 
任务 的 执行 情况 ,本 例 中 CPE 设备 配置 备份 成 功 , 如 图 8-491 所 示 。 

(25) 抓 包 收集 /日 志 收 集 

如 果 CPE 配置 备份 失败 ,请 确认 设备 上 是 否 配置 ip http enable。 如 果 已 经 配置 ,请 提供 
抓 包 iMC PLAT 版 本 信息 、BIMS 版 本 信息 以 及 \iMC\server\conf\log 目录 下 bimsdm. log 


和 imcbimsdm. txt 日 志 。 
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区 5 > 4 二 同上 管理 > 备份 历史 记录 > backup01 q 
一 一 自动 备份 计划 基本 信息 
eu bactup01 
任 和 所 过 
asan 自动 备份 计划 
自动 奋 份 计划 backupo1 
Be 2014-11-02 17:01:20 
一 PE 者 份 执 行 列表 
WK. s REXHA © asam e 开始 时 间 © 结束 时 间 ° hitr ° 另 让 为 
局 
(so [z] 


图 8-491 CPE 设备 配置 成 功 与 否 


mapy assays 3 8.1.37 APM 应 用 监控 N 


Ap 启用 监控 故 障 排查 


— A+T+- 54 E z £ 
---y 素 示 上 一 步 结果 出 更 问题 


x 


A to i F] 
是 百 成 功 人 


ie 服务 跨 过 AT 
情况 检查 


拨打 热线 
400-310-0504 
各 未 帮助 
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8.1.37 APM 应 用 监控 


EER 业 条 软件 .| 
08 iMC 管理 软件 8.1 业务 软件 : iMC 故障 排查 


步骤 详解 
1. 开始 


随 着 Web 2.0` 云 计算 .数据 中 心 等 信息 技术 的 不 断 发 展 , 企 业 的 各 种 业务 已 经 越 来 越 紧 
密 地 与 Internet 结合 在 一 起 ,由 服务 器 数据库. 中 间 件 等 组 成 的 应 用 信息 系统 也 变 得 越 来 越 
复杂 ,对 IT 技术 人 员 的 要 求 也 越 来 越 高 ,各 种 突 发 故障 排除 起 来 也 越 来 越 困 难 。 因 此 企业 急需 
一 套 易于 部 署 功能 全 面 . 扩 展 灵 活 的 IT 运 维 管理 解决 方案 ,满足 其 不 同 层次 的 应 用 管理 需求 。 

APM 应 用 监控 排 错 的 基本 思路 : APM 是 管理 服务 器 .数据库 .中间 件 等 应 用 信息 的 综合 
监控 系统 ,其 中 最 重要 的 是 通过 监控 协议 获取 应 用 的 数据 信息 ; 不 同 的 应 用 需要 对 应 不 同 的 
监控 协议 ,针对 不 同 的 应 用 ,我 们 首先 确认 对 应 的 监控 协议 是 否 正常 开启 权限 是 否 足 够 ; 然 
后 根据 不 同 应 用 的 监控 协议 进行 检查 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

需要 对 照 (智能 管理 中 心 (iMC) 部 署 和 硬件 配置 方案 》, 检 查 iMC 服务 器 性 能 是 否 符合 配 
置 要 求 。 该 配置 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 ,请 严格 执行 。 

D 对 照 ( 智 能 管理 中 心 iMC) 部 署 和 硬件 配置 方案 ) 检 查 服务 器 CPU .内存 、 硬 盘 等 是 否 
合乎 规格 ,如 果 APM 监控 的 应 用 数量 多 , 需 考 虑 是 否 根据 (智能 管理 中 心 (iMC) 部 署 和 硬件 
配置 方案 ) 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 ,重点 需要 检查 内 存 占用 是 否 过 高 ， 
内 存 大 小 是 否 满 足 《智能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 》 计 算出 的 要 求 ,操作 系统 和 数 
据 库 是 否 为 64 位 ,建议 使 用 64 位 系统 。 

@ 单 击 “ 开 始 ” 一 “智能 部 署 监 控 代 理 ” 命 令 ,选择 "部署 " 标 签 ,检查 “APM( 应 用 管理 )" 是 
和 否 已 经 部 署 , 如 图 8-492 所 示 。 


E 智能 部 署 监控 代理 


监控 | 进程 部署 | 运行 环境 | 


S SERTA - RAEO 


册 近 网 结 中 的 各 种 事件 ， 提供 安 


ic PLAT 7.1 (E0303) 已 部 署 


S 智能 管理 平台 - 通用 搜索 服务 管理 


对 im 的 通用 搜索 北 务 提供 统一 


iMC PLAT 7.1 (E0303) 已 部 署 


KITITIUCSES U T] 


MiA tT E 


ic PLAT 7.1 (0303) 已 部 署 


S 智能 管理 平台 - YLAt 管 理 


对 岗 络 中 YLAN 资 源 进行 管理 


ic PLAT 7.1 (E0303) 已 部 署 


S 智 能 管理 平台 - 虚拟 资源 管理 


对 虚拟 资源 进行 管理 。 


iMC PLAT 7.1 (0303) 已 部 署 


提供 对 隐 络 行为 分 析 与 审计 的 基 


ic ITAAUBA 7.1 〔 .. 已 部 署 


搞 收 网 络 行为 信息 ， 并 提供 相应 : 


iMC NTMUBA 7.1 C.. 已 部 署 


通过 多 种 方式 对 网 络 流 里 信息 的 


iMC NTA 7.1 (E0301) 已 部 署 


护 收 网络 行为 信息 ， 并 提供 相应 


ic WTMUVBA 7.1 C.. 未 部 署 


$ 网 络 流 里 分 析 服 务 


对 3 纵 流 里 信息 提供 多 角度 的 统 


ic NTA 7.1 (E0301) 已 部 署 


O 网 络 流星 分 析 服务 
HRSA 
I 用 户 接 入 管理 - 用 户 接 入 管理 


务 的 
提供 对 接 入 用 户 、 接 入 业务 的 配 


ic NTA 7.1 (E0301) 未 部 署 


ic VAN 7.1 Œ030... 已 部 署 


J 用 户 接 入 管理 - FTP 服务 器 


提供 终端 智能 识别 的 功能 


ic EIP 7.1 (E030. .. 已 部 署 


f$ 用 户 接 入 管理 - FIP 从 服务 器 


部 署 在 FTP 服务 器 之 外 的 其 他 服 


iMC EIP 7 1 (E0302) 未 部 署 


I 用 户 接 入 管理 - 第 略 服务 器 


提供 安全 认证 的 功能 。 


ic VAN 7.1 Œ030... 已 部 署 


9 用 户 接 入 管理 - 第 略 代理 服务 器 


提供 对 安全 认证 报 文 的 转发 功能 。 


imc van 7.1 Œ030... 已 部 署 


I 用 户 接 入 管理 - 用 户 自助 服务 


提供 用 户 资料 的 自助 查 调和 维护 


ic VAM 7.1_E030,， 已 部 署 


8 用 户 接 入 管理 - 用 户 接 入 管理 从 


部 署 在 用 户 接 入 管理 服务 器 之 外 


iMC vau 7.1 (E0302) 未 部 署 


$ 自主 页 面 定制 feb 服 务 器 


提供 一 个 独立 的 feb 容器 ， 用 于 - 


MC UAM 7.1 (E030. .. 已 部 署 


请 选择 组 件 ， 按 下 鼠标 右键 激活 操作 荣 单 * 


图 8-492 检查 “APM( 应 用 管理 )” 已 部 署 
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说 明 : 

(a) APM 默认 的 采集 间隔 是 5 分 钟 ,最 多 支持 500 个 应 用 监控 ,如 果 不 采用 5 分 钟 的 采 
集 间隔 ,管理 规模 需要 相应 调整 ,例如 : 采集 间隔 调整 为 10 分钟, 则 管理 规模 也 将 加 倍 。 

(b) 当 基础 版 本 为 1MC APM 7.0 (E0201) 时 ,APM Agent 只 支持 手动 升级 。 

(2) iMC 服务 器 运 

要 想 正常 增加 应 用 和 正常 应 用 数据 ,必须 确保 APM 功能 模块 对 应 的 imcapmedm 进 

程 运行 正常 。 

单 击 “ 开 始 ” 一 “智能 部 署 监控 代理 ”命令 ,选择 “进程 "标签 ,查看 APM 的 进程 imcapmedm 
是 否 正常 启动 ,具体 如 图 8-493 所 示 。 


ae te larl 运行 环境 | 
一 
PETES 已 经 启动 11 560 2014-12-25 10:53:05 核心 进程 — 自动 

O inc3ssndn exe 已 经 启动 36, 800 2014-12-25 10:53:11 可 管理 进程 自动 

© incaclin exe 已 经 启动 25, T80 2014-12-25 10:53:11 SEMN 自动 


O incefgbakdn. exe 3 26, 220 2014-12-25 10:53:11 IET 
incendngr dn. exe 2 22,836 2014-12-25 10:53:10 可 管理 进程 
imceponm, exe A 29, 440 2014-12-25 10:53:11 可 管理 进程 
imcfaultdn. exe = 30,512 2014-12-25 10:53:11 可 管理 进程 
imceiccdm exe E] 20, 400 2014-12-25 10:53:11 可 管理 进程 
imcinventorydn. =: 22, 808 2014-12-25 10:53:11 可 管理 进程 
imcjobagrdn. exe z 22, 452 2014-12-25 10:53:10 可 管理 进程 
imel2topodm. exe z] 31, 732 2014-12-25 10:53:10 可 管理 进程 
imcnetresdn, exe 3 44, 856 2014-12-25 10:53;10 可 管理 进程 
imeperfdm. exe | 31, 052 2014-12-25 10:53;11 可 管理 进程 
imerandn, exe z] 35,528 2014-12-25 10:53.11 可 管理 进程 
imesyslogdn. exe =: 21, 256 2014-12-25 10:53:11 可 管理 进程 
imcupgdn. exe 3 28, T38 2014-12-25 10:53:11 可 管理 进程 
imcylandn exe | 24, 448 2014-12-25 10:53:11 可 管理 进程 
imevnndn. exe ži 32,496 2014-12-25 10:53:11 可 管理 进程 
ing. exe 2 11, 492 2014-12-25 10:53:05 核心 进程 

O processor. exe 2 72, 664 2014-12-25 10:53:11 可 管理 进程 


©o/0/0/0/0/0/0/o/0 0/0 0/0/00 


图 8-493 进程 启动 情况 


说 明 : 一 般 情 况 下 ,这些 进 程 通过 和 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 
(3) 添加 应 用 是 否 成 功 
APM 应 用 添加 成 功 状态 如 图 8-494 所 示 。 


t Management Center 


m 
ma 
用 "Windows_10153.43.100" 成 
m. 


> ams amz% o Beppo REH)S RED) e Emas 5 相关 启用 $。 mn me 
Apache 10153.4977 — Ü Apache 服 务 器 B 居 ü 
> CAs_172160201 Beas Zza BE š 
É MSSQL 1015343100 E sQt Server w. = BR ü 
> Windows 1015343100 Wa windows a a R 钙 
AMSTE, S0514, min m. AE > | so v 


图 8-494 APM 应 用 添加 成 功 状态 


1210 根 叔 的 云图 一 一 网 络 故障 大 排查 


APM 应 用 添加 失败 状态 如 图 8-495 所 示 。 


RAT SAER > MOH >E Windows -nd 
eT] A 
Pet * 10.153.43.61 ° =s < 
zm Windows_ 10153.43.61 
saem: zam ~ 
mit 
SB (St) ° 5 ~ 
监视 方式 “ WMI ` 
启用 事件 日 志 点 视 ram ~ 
meg’ administrator 


8-495 APM 应 用 添加 失败 状态 


(4) APM 应 用 参数 检查 

为 了 成 功 监控 APM 应 用 信息 ,APM 不 同 的 应 用 监控 的 方式 和 支持 版 本 均 不 一 致 ; 在 
APM 增加 应 用 监控 失败 场景 需要 从 如 下 几 方 面 进行 排查 。 

D 应 用 版 本 支持 情况 检查 。 

不 同 的 应 用 APM 支持 的 版 本 也 是 有 限制 的 ,需要 再 增加 前 首先 确认 应 用 的 版 本 是 否 在 
APM 适 配 范围 内 。 版 本 适 配 范围 在 增加 界面 的 帮助 中 可 以 查看 ,如 图 8-496 所 示 。 


ANEREN ~ 
， Agentie: 通过 Agenf 方 式 监视 应 用 ， 人 在 通过 Agent 描 加 应 用 时 才 雪 要 下 置 = 
增加 0 应 用 P 1) 

* APM 支 持 监控 的 Oracle 版 二 包括 9. 10910119. 


Ip 地 址 * ` BorseetiizI9n, REDAN CONNECTIOSELECT_CATALOO. ROLEAM EAYEIEA 
am ` BAALE NESARA, FAMERS. 

* SIRS2Z2948 ( 即 Orace SID) ARIAS: 
是 否 使 用 模板 “ 7 nu 机 过， 

PAIAS: solot” from vsinstance S + 
mis (2) T Windows RÆHKEY_LOCAL_MACHINEISOFTWAREVORACLEWHOMEO 
ORACLE SIORRA” 

应 用 监控 高， 
aaa) ° 5 “SQL 

* #ioA222SQL Server 
B’ 并 ase 

* Hn DB2 
BIRELE ( Oracle SID) * 本 
用 记名 * * ha PostoreSOL 

uintomee 
E+ 

< > 4 

联系 人 admin 可 


图 8-496 ”增加 页 面 的 帮助 


© 应 用 监控 先决 条 件 检 查 。 

常见 的 应 用 如 : Windows 应 用 ,通过 WMI 方式 监控 ,需要 Windows 服务 器 开启 WMI 协 
议 ,并 使 用 管理 员 权限 账号 增加 监控 。 服 务 器 WMI 服务 开启 确认 方式 如 图 8-497 所 示 。 

测试 账号 是 否 有 权限 ,可 以 通过 最 常见 的 方式 , 即 从 APM 服务 器 上 通过 远程 桌面 的 方式 
登录 Windows 服务 器 ,查看 是 否 有 权限 登录 。 
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注意 事项 
”采用 WMI 方 式 对 Windows 服 务 器 进行 监控 时 ， 和 需要 具有 管理 员 权限 的 用 户 名 和 密码 * 
* 当 应 用 管理 组 件 部 署 在 Windows Server 2008 系 统 上 时 ， 不 能 监控 Windows Server 2003 系 统 。 
， 只 有 WMI 方 式 能 够 监控 事件 日 志 ，SNMP 方 式 无 法 监控 事件 日 志 。 
* 当 试 加 通过 WMI 模 式 添加 应 用 时 ， 提 示 拒绝 访问 。"， 处 理 办 法 参见 童 见 问题 舰 答 。 
* 当 使 用 Linux 平 台 的 APM 监 控 Windows Server 2008 或 Win TH， 处 理 办 法 参见 堂 见 问题 裔 答 。 
yas aq 服务 状态 只 能 获取 正在 运行 的 状态 ， 其 值 为 1。 配置 服务 状态 济 值 


时 ， 请 配置 1, 表示 
de EL 28 请 配置 如 下 值 : ContinuePending 、Paused 、 
PausePending . Running 、StartPen Y Sno, 分 别 表示 ERRE BER 
正在 暂停 "、 正 在 运行 、 正 在 启动 、 “Ee 正在 停止 


对 于 系统 运行 时 长 指标 ， 以 秒 为 单位 配置 漳 值 。 
。 当 IMC 安 装 在 Windows 操 作 系统 且 Windows 应 用 使 用 WM 方式 监视 时 ， 服 务 启动 、 停 止 功能 可 用 。 
“二 Windows 事 件 日 志 。 当 事件 日 志 东 炒 超 过 事件 日 志 1 
令 计 4 CREBAR KERAMER HE = ERUMAS RE. KASTE 
响 Windows 应 用 的 健康 拓 见 

， 在 Linux 环 境 下 ， 添 加 Win2012 应 用 之 前 ， 该 监控 的 主机 必须 开启 Remote Registry 服务 。 

. hWndows Server 2008 及 后 续 版 本 的 Windows 应 用 时 ， 必 须 使 用 Windows 应 用 的 administrator 用 


图 8-497 服务 器 WMI 服务 开启 确认 方式 


另外 ,针对 不 同 的 应 用 ,在 APM 的 帮助 中 注 明 了 增加 监控 的 先决 条 件 ,需要 现场 逐一 
排查 。 

(5) 应 用 采集 异常 

在 APM 的 应 用 监控 中 ,如 果 应 用 监控 状态 为 “不 可 用 ”或 “无 法 访问 "时 ,该 应 用 不 能 正常 
采集 ,如 图 8-498 所 示 。 


ëm ° 应 用 类 型 ikop) SMHS SMe ”可 用 性 2 MARRS 管理 状态 $ 相关 应 用 sm mb 
Apache 10.153.4977 二 Apache 耿 务 跨 - - - Omm Oze Ben E ê 
CAS_172160.201 L ° š: E aa @- w u= B t 
MSSQL 10.153.43.100 R SQL Server - - 外 可 用 Ons 1 B | 
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(6) APM 应 用 增加 失败 和 获取 数据 异常 定位 信息 收集 

现场 经 常会 出 现 ,权限 配置 检察 没有 问题 ,按照 帮助 排查 未 能 解决 现场 问题 时 ,就 需要 按 
照 要 求 收集 后 台 的 DEBUG 日 志和 抓 包 信息 来 定位 问题 原因 。 

@ 后 台 DEBUG 日 志 收 集 方法 。 

登录 iMC 服务 器 ,进入 APM 所 部 属 的 服务 器 上 ,进入 后 台 目 录 : &iMCNserverNconf H 
录 下 ,用 记事 本 打开 qvdm. conf 文件 ,找到 如 下 信息 ,将 默认 的 INFO BUR DEBUG 后 保存 。 


# setting log level (DEBUG, INFO, WARNING, ERROR, FATAL) 
LogLevel = INFO // 该 处 将 INFO 改 为 DEBUG 

# setting log expire (its unit is day) 

LogExpire = 15 


启 智能 部 署 监控 代理 中 的 imcapmedm 进程 ; 然后 复 现 问题 ,收集 &iMC\server\conf\ 
og se imcapmedm 的 日 志 信 息 ,打开 看 一 下 是 否 有 DEBUG 字样 信息 ,并 且 搜 索 对 应 的 
应 用 IP 可 以 看 到 增加 过 程 的 报错 信息 。 
@ 抓 包 信息 收集 方法 。 
在 iMC 的 APM 部 署 所 在 的 服务 器 上 开启 抓 包工 具 , 复 现 问 题 。 停 止 抓 包 , 保 存 抓 包 文件 。 
说 明 : 以 上 两 个 信息 同时 收集 ,定位 问题 需要 按照 报错 时 间 查 看 抓 包 中 的 报错 信息 定位 。 


ED, iMC 管理 软 Tm git. i 8.1.38 iMC Re 6 Qa 
iMC 管理 软件 8.1 业务 软件 : iMC > 


ic 双 机 准备 方案 故障 排查 
— #**+-k& tz5 


+ =--》 未 示 上 一步 结果 出 和 


设 £ Al] Radius 
z É Fe Š 是 在 分 布 式 
N #4 
; , 从 机 dbman 
配置 检查 


D 
n 
. 
. 
. 
. 
: 


确 3Nwc 是 百 
DARBEA : 


EOT 
配置 检查 


ic 服务 跨 过 +T 
情况 检查 


拨打 热线 
400-310-0504 
4E 
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Tuan Sa assia 8.1.38 iMC 双 机 冷 备 z 
08 iMC 管理 软件 8.1 业务 软件 : iMC 方案 故障 排查 步骤 详解 


1. 开始 

IMC 双 机 冷 备 是 一 种 容错 方案 。 该 方案 要 求 系统 中 存在 一 主 、 一 备 两 套 iMC, 且 两 套 iMC 
部 署 版 本 完全 一 致 ,两 套 iMC 之 间 通 过 自 带 的 dbman 工具 实现 数据 从 主 iMC 到 备 iMC 的 自动 
同步 。 主 MC 系统 down 后 ,设备 会 自动 转向 备用 IMC 认证 ,切换 时 间 控 制 在 秒 级 ,保证 了 客户 
业务 的 连续 性 。iMC 冷 备 方案 问题 包括 认证 /切换 异常 和 数据 不 能 自动 备份 或 恢复 两 方面 ; 对 
于 iMC 冷 备 方案 定位 故障 的 思路 及 顺序 是 : IMC 服务 器 软 硬 件 状 态 及 路 由 可 达 性 检查 ,设备 
配置 检查 、 确 认 iMC/ 数 据 库 部 署 方式 、 数 据 库 服 务 器 配置 检查 、dbman 配置 检查 .日 志 分 析 。 

本 文 举例 组 网 如 图 8-499 所 示 。 


认证 终端 PC 认证 设备 H3C 主 UAM 服 务 器 


备 UAM 服 务 器 
图 8-499 组 网 举例 


IP 规划 如 下 。 

认证 终端 PC: 172. 16. 16. 2/24 ,网关 172. 16. 16. 1 。 

认证 设备 : VLAN 16:172. 16. 16. 1/24,VLAN 100; 172. 16. 100. 1/24。 

主 PLAT iMC 服务 器 : 172. 16. 100. 122/24 ,网 关 172. 16. 100. 1 。 

主 UAM 服务 器 : 172. 16. 100. 123/24 ,网 关 172. 16. 100. 1 。 

数据 库 服务 器 : 172. 16. 100. 124/24 ,网关 172. 16. 100. 1 。 

备 iMC 服务 器 : 172. 16. 100. 125/24, 网 关 172. 16. 100. 1 。 

虚线 表示 分 布 式 或 分 离 式 部 署 。 

2. 流程 图 相关 操作 说 明 

(1) iMC 服务 器 安装 部 署 规范 检查 

服务 器 性 能 是 保证 iMC 认证 系统 稳定 运行 的 基本 要 素 . 所 以 排查 问题 是 首先 需要 确认 服 
务 器 软 硬 件 配置 情况 。 

请 对 照 4 智 能 管理 中 心 CiMC) 部 署 和 硬件 配置 方案 ) 查 询 这 套 iMC 服务 器 的 业务 量 是 否 
符合 配置 要 求 。 该 配置 方案 是 我 们 推荐 的 运行 MC 最 基本 的 部 署 要 求 。 

O 对 照 4 智 能 管理 中 心 GiMC) 部 署 和 硬件 配置 方案 》 检 查 服 务 器 CPU 内存、 硬盘 等 是 否 
合乎 规格 ,如 果 认证 数量 大 、 同 时 在 线 人 数 多 , 则 需要 根据 (智能 管理 中 心 (iMC) 部 署 和 硬件 配 
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置 方案 ) 要 求 将 组 件 分 布 式 部 署 在 性 能 良好 的 服务 器 上 。 

重点 需要 检查 内 存 占用 是 否 过 高 ,内存 大 小 是 否 满足 (智能 管理 中 心 (iMC) 部 署 和 硬件 配 
置 方案 》 计 算出 的 要 求 ,操作 系统 是 否 是 高 性 能 的 x64 版 本 。 

@ 打开 部 署 监 控 代理 ,在 部 署 监 控 代理 中 查看 部 署 页 面 ,“ 用 户 接 入 管理 "组件 是 否 是 “已 
部 署 "的 状态 。 

需要 关注 的 组 件 为 “用 户 接 入 管理 ”, 其 状态 应 为 “已 部 署 ", 如 图 8-500 所 示 。 


二 智能 部 署 监控 代理 PEE 
监控 | 进程 “部署 | 运行 环境 | 


横 用 户 按 入 管理 - 用 户 按 入 管理 供 对 接 


J FIFA ETIS - BORSE 提供 BYOD 的 功能 。 ic UAN 5.2 (E040. DHE — 主 服务 器 


| & ray EEI] EPE ¿ue am ES Q (wna aY RPR 


8-500 组 件 部 署 状 态 


(2) iMC 服务 器 运行 情况 检查 

查看 主 备 “iMC 智能 部 署 监 控 代 理 ? 中 进程 选项 卡 中 是 否 有 未 启动 的 进程 ,各 进程 是 否 正 
常 为 “已 经 启动 ”。 

O 在 部 署 监控 代理 中 ,查看 uam. exe、uamjob ispserver、dbman、policyserver 进程 是 否 正 
常 启动 ,如 图 8-501 所 示 。 


闻 智能 部 署 监 控 代理 MEE 
监控 进程 | 部署 | 运行 环境 | 


D dbnan exe 已 经 启动 ” 本 机 0 6, 700 2014-12-11 17:53:31 核心 进程 。 自动 


17,364 2014-12-11 17:53:38 可 管理 进程 ”自动 
20, 792 2014-12-11 17:53:38 可 管理 进程 ”自动 
14, 880 2014-12-11 17:53:36 可 管理 进程 ”自动 
16.648 2014-12-11 17:53:38 可 管理 讲 程 “自动 


O inccndngrdn. exe 已 经 启动 
pis 
O inciccan exe DZE 本 机 


| 
| 
ojo|jojo|d 


5,444 2014-12-11 17:53:33 可 管理 进程 ”自动 
360,996 2014-12-11 17:53:06 可 管理 进程 自动 


2, 108, 024 2014-12-11 17:53:07 可 管理 进程 
0 269,5282014-12-11 17:53:07 可 管理 进程 ”自动 
04 304,856 2014-12-11 17:53:00 可 管理 进程 ”自动 
O  387,6522014-12-11 17:53:07 可 管理 进程 “自动 
0 
0 
0 
0 


O sehapveserver CZE) ”本 机 
O eipserver 已 经 启动 本 机 
TFT 上 
E SE: 


258, 000 2014-12-11 17:53:07 可 管理 进程 ”自动 
326, 100 2014-12-11 17;53:07_ 可 管理 进程 ”自动 
236, 896 2014-12-11 17:53:08 可 管理 进程 ”自动 
243, 464 2014-12-11 17:53:06 可 管理 进程 自动 


图 8-501 进程 启动 情况 


说 明 : 

(a) 一 般 情 况 下 ,这 些 进程 通过 和 鼠标 右键 设置 启动 方式 为 “自动 启动 ”。 
(b) uamjob 功能 主要 是 执行 定时 任务 ,uam 进程 主要 负责 认证 、 计 费 。 
(c) policyserver 主要 用 来 提供 客户 端 类 功能 。 

(d) dbman 提供 数据 自动 备份 ,恢复 功能 。 
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(e) ispserver 统一 代理 与 iNode 客户 端的 通信 。 
© 检查 iMC 服务 器 1812、1813 UDP 端口 是 否 被 uam 相关 进程 所 监听 ,如 图 8-502 所 示 。 


16.8 


"s Adninist 


Administrator 
上 超 Yinaovs 任务 管理 器 
文件 F) 选 顺 0) 查看 W) 帮助 00 


应 用 程序 进程 | 服务 | 性 能 | 联网 [me | 


cnd exe #32 


incvnmdn. exe #3: 


图 8-502 端口 被 uam 相关 进程 监听 情况 


检查 iMC 服务 器 TCP 端口 2810 是 否 被 dbman 进程 监听 ,如 果 是 分 离 式 部 署 还 需要 确认 
数据 库 服务 器 TCP 端口 2810 是 否 被 dbman 进程 监听 ,如 图 8-503 所 示 。 


adnjinjisteatox>netstat -aon 1 findstr 2810 
B.B.B-B:B LISTENING 


应 用 程序 进程 | 服务 ltk | 联网 | 用 户 | 


图 8-503 TCP 端口 2810 被 监听 情况 


仿 查 服务 器 UDP 9019 端口 是 否 被 java 进程 监听 。 

说 明 : 

(a) Windows 操作 系统 中 ,通过 

netstat -aon | findstr :端口 号 
命令 来 显示 某 一 端口 的 监听 状态 及 其 对 应 的 进程 PID 

(b) 1812.1813 所 对 应 的 进程 PID 应 为 uam 相关 的 进程 。 

(c) 1812.1813 对 应 的 IP 应 为 UAM 服务 器 实际 IP 地 址 。 

(d) 9019 端口 所 对 应 进程 PID 为 policyserver 相关 进程 。 

Ce) 2810 端口 所 应 用 进程 PID 为 dbman 相关 进程 。 

(Í) Linux 系统 命令 

Netstat -apn | grep 端口 号 。 

O 检查 “iMC 智能 监控 代理 ”运行 环境 ?选项 卡 ,数据 库 连 接 状态 是 否 正常 ,如 图 8-504 
所 示 。 

(3) 路 由 可 达 性 检查 

单 击 “ 用 户 ”>“ 接 入 策略 管理 ”>“ 接 入 设备 管理 ”>“ 接 入 设备 配置 ">“ 增 加 接 入 设备 " 命 
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B 己 使 用 各 总 大 小 


图 8-504 “运行 环境 ”选项 卡 


今后 将 需 添加 接 入 设备 发 给 iMC 服务 器 Radius 协议 报 文 的 端口 IP,iMC 默认 会 同 该 IP 进行 
Radius 协议 报 文 交互 , 需 保证 iMC 可 以 ping 通 该 IP, 本 例 中 接 入 设备 全 应 为 172. 16. 100. 1 。 

主 iMC 服务 器 、 备 MC 服务 器 \ 数 据 库 服务 器 间 保 证 路 由 可 达 。 

WAA: 

D 接 入 设备 会 有 多 个 IP 地 址 ,如 果 要 更 改 接 入 设备 IP, 需 在 Radius Scheme 视图 下 配置 
如 下 命令 。 

[sw-radius-h3c] nas-ip 172. 16. 2. 1 ,并 在 iMC 上 更 改 为 172. 16.2.1。 

O 如 果 系 统 开启 防火 墙 ,需要 放 通 TCP 1433 和 2810 端口 保证 服务 器 间 正 常 交互 数据 报 
文 ,如 图 8-505 所 示 。 


T 用 户 > 接 入 第 路 管理 > 按 入 设备 管理 > MARERE > 增加 接 入 设备 


接 入 配置 
WERD + 1812 HRO + 1813 
组 网 方式 不 启用 混合 组 网 i 业务 类 型 LAN 接 入 业务 
接 入 设备 类 型 H3C(General) bd 业务 分 组 未 分 组 
Heg t 123 
接 入 设备 分 组 无 w 


图 8-505 接 入 设备 
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(4) 设备 侧 Radius 配置 检查 


[BAS-radius-H3C] display this 
radius scheme H3C 
server-type extended 
primary authentication 172.16.100.123 
primary accounting 172.16.100.123 
secondary authentication 172.16.100.125 
secondary accounting 172.16.100.125 
key authentication 123 
key accounting cipher 123 
nas-ip 172.16.100.1 


说 明 : 

D 接 入 设备 需要 配置 主 备 认证 、 计 费 服务 器 , 主 服务 器 down 后 , 接 入 设备 连续 发 3 次 请 
求 得 不 到 回应 就 会 自动 转向 备 UAM 认证 。 

@ 接 入 设备 会 将 认证 、 计 费 分 开 处 理 , 认 证 转向 备 机 后 ,设备 仍 会 将 计 费 报 文 发 往 主机 ， 
所 以 主 到 备 切换 时 第 一 次 会 失败 , 重 拨 一 次 即 可 成 功 上 线 。 

@ 接 入 设备 重 传 超时 次 数 由 以 下 参数 决定 : [BAS-radius-h3cjretry x, 

(5) 确认 iMC 是 否 分 离 式 部 署 

确认 IMC 组 件 是 否 和 数据 库 安 装 在 同一 台 服 务 器 ,如 果 安 装 在 同一 台 服 务 器 属于 本 地 数 
据 库 ; 如 果 是 安装 在 不 同 服务 器 属于 分 离 式 部 署 。 

(6) 数据 库 服 务 器 配置 检查 

D 确认 数据 库 服务 器 软 硬 件 环境 是 否 满足 (硬件 配置 指导 》 里 面 的 推荐 配置 。 

@ 确认 数据 库 服务 器 dbman 进程 是 否 正常 运行 ,TCP 2810 端口 (Oracle 对 应 1521) 是 否 
被 dbman 正常 监听 。 

© Windows“ 系 统 ”>“ 开 始 ”>“ 管 理工 具 ”>“ 服 务 ”" 里 面 ,SQL Server(MSSQLSERVER) 服 
务 是 否 是 “已 启动 ”状态 ,正常 情况 应 该 显示 为 “已 启动 "。Linux 系统 可 以 在 shell 环境 下 输入 
如 下 内 容 。 

netstat -anp | grep tnslsnr 

netstat -anp | grep oracleorcl 

判断 数据 库 服 务 是 否 正常 运行 ,监听 器 是 否 正常 监听 。 

© 确认 数据 库 配 置 是 否 满足 (数据 库 配 置 指 导 》 里 面 的 要 求 。 

说 明 : 

(a) 对 于 分 离 式 部 署 环境 ,需要 在 数据 库 服务 器 上 安装 运行 dbman。 

(b) Windows 操作 系统 ,需要 在 数据 库 服 务 器 上 安装 Microsoft Visual C++ 2008 
redistributable, 该 安装 程序 存放 于 iMC 安装 盘 Componnents\common\server\vcredist. exe, 
然后 安装 dbman。 

(c) Linux 系统 ,需要 设置 如 下 环境 变量 。 

BRARY_PATH= $LD_LIBRARY_PATH:/INSTALL_DIR/dbman/bin, 

(d) iMC 部 署 完成 后 ,需要 将 dbman 文件 夹 拷 贝 到 数据 库 服务 器 上 并 运行 ,启动 如 下 命令 。 


[root@localhost bin] # cd /opt/iMC/dbman/bin/ 
[root@localhost bin] # dbman 
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(7) 是 否 分 布 式 部 署 

检查 iMC PLAT 与 各 组 件 之 间 是 否 是 分 布 式 部 署 。 

(8) 从 机 dbman 配置 检查 

V7 版 本 iMC 所 有 的 dbman 配置 操作 均 在 主机 进行 ,从 机 仅 需要 保证 dbman 进程 正常 监 
听 TCP 2810 端口 。 

说 明 : 从 机 防火 墙 需要 放 开 到 TCP 2810 的 连接 ,不 然 会 导致 数据 传输 失败 。 

(9) dbman 配置 检查 

O 主 iMC 服务 器 dbman 配置 示例 。 

E iMC 需要 选择 自动 备份 模式 ,如 图 8-506 所 示 o 


04:00 


172. 16. 100. 125 


图 8-506 Æ iMC 服务 器 dbman 配置 示例 


每 日 备份 时 间 点 : 用 于 设置 每 日 自动 备份 的 时 间 点 ,不 建议 修改 。 

备 机 系统 的 主机 IP: 备用 iMC 服务 器 的 地 址 ,本 例 为 172. 16. 100. 125. 

iMC 服务 器 地 址 : 127.0.0.1. 

数据 库 地 址 : 集中 式 部 署 时 填写 127. 0. 0. 1; 分 离 式 部 署 时 填写 数据 库 服务 器 IP 地 址 ， 
本 例 为 172. 16. 100. 124。 

备份 文件 存放 路 径 : 本 地 存放 MC 数据 的 路 径 ,名 称 尽量 不 要 包含 中 文 , 且 该 路 径 一 定 
要 实际 存在 。 

本 地 备份 : 勾 选 表示 主机 dbman 会 自动 备份 该 数据 库 。 

传送 至 备 机 : 勾 选 表示 主机 dbman 备份 的 数据 会 自动 传送 至 备 MC 服务 器 。 

说 明 : 

(a) doman 要 求 主 备 iMC、 数 据 库 版 本 完全 一 致 ,否则 会 导致 数据 恢复 失败 。 

(b) 对 于 主机 有 、 备 机 没有 的 组 件 , 不 允许 对 该 组 件 对 应 的 数据 库 色 选 “ 传 送 至 备 机 ”。 

(c) 不 建议 备份 NTA/UBA/WSM/SYSlog 对 应 的 数据 库 。 

@ 备 iMC 系统 dbman 配置 检查 。 

£ iMC 系统 需要 勾 选 “自动 恢复 模式 ”。 

iMC 服务 器 地 址 : 127. 0. 0. 1。 
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数据 库 地 址 : 集中 式 部 署 填写 127. 0. 0.1, 分 离 式 部 署 填写 数据 库 服 务 器 IP 地 址 。 

恢复 文件 路 径 : 主机 传输 过 来 的 文件 存在 路 径 , 备 iMC 系统 恢复 数据 时 从 该 路 径 读 取 数 
据 文件 。 

恢复 : 勾 选 表示 需要 恢复 该 组 件 对 应 的 数据 。 

不 允许 出 现 主机 未 部 署 而 备 机 部 署 了 某 一 组 件 的 情况 ,如 图 8-507 所 示 。 


8-507 ”主机 未 部 署 而 备 机 部 署 某 一 组 件 
说 明 : 
(a) 保证 主 , 备 iMC 各 组 件 版 本 一 致 。 
(b) 根据 现场 情况 建议 有 选择 性 的 恢复 特定 的 数据 库 文件 。 
(10) 日 志 分 析 
O 配置 生效 失败 。 
如 图 8-508 所 示 为 配置 生效 操作 失败 。 


图 已 使 用 画 总 大 小 


图 8-508 配置 生效 失败 
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这 种 情况 大 部 分 是 数据 存放 目录 不 存在 导致 .dbman_debug. log 日 志 里 一 般 记录 如 下 。 


Receive command code: 10020 

Input directory invalid: C:\dbmanbaka, code: 1, errCode: 一 16 

errCode = —16. 

Fail to create directory 

Client close conn 

Reload config from file: D:\Program Files\iMC\dbman\bin\ ..\etc\dbman. conf-errCode = —16. 
Client close conn 


导致 该 问题 的 第 二 种 情况 如 下 。 


Deploy/dma. txt 日 志 记录 如 下 : 

2015-01-06 15: 19: 32 [ERROR] [SwingWorker-pool-2-thread-10] [ com. h3c. imc. deploy. dma. 
DBManConfiguration $ k: :b(5362)] DBMan is backupping 

Dbman debuging 日 志 记录 如 下 : 

2015-01-06 15: 19: 32 [DEBUG] [CDataConnStreamQueueT:: deal _ msg] Succeed to create 
SendBakConfigFileReq thread 

2015-01-06 15:19:32 [INFO] [SendBakConfigFileReq] Dbman is backupping 

2015-01-06 15:19:32 [DEBUG] [CDataConnStreamQueueT: :deal_msg] Client close conn 


从 以 上 日 志 看 出 dbman 进程 挂 死 ,对 于 这 种 情况 需要 将 iMC PLAT 升级 至 7. 1 E0303H03 
及 以 上 版 本 解决 。 

说 明 : 

(a) 保证 dbman 配置 的 路 径 实际 存在 。 

(b) 其 他 配置 问题 也 可 能 导致 配置 失败 。 

© 备 机 没有 主机 备份 的 数据 。 

dbman 要 与 环境 内 的 所 有 主机 进行 通信 ,包括 从 机 、 备 机 、 数 据 库 服务 器 ,在 连接 不 通 的 
情况 下 是 不 能 进行 数据 备份 的 。 

dbman 正常 通信 和 日志 如 下 。 


[INFO] [Client: :connect_to_server] Starting connect to 127.0.0.1: 2810 
[INFO] [Client: :connect_to_server] Connection to 127.0.0.1 2810 
[DEBUG] [My_Accept_Handler: :handle_input] Connection established 127.0.0.1 


dbman 无 法 通信 日 志 如 下 。 


[INFO] [Client: :connect_to_server] Starting connect to 127.0.0.1: 2810 
[INFO] [Client: :connect_to_server] Connection failed 
[ERROR] [Client: :send_echo_msg] connect to server fail 


对 于 这 种 情况 ,一 般 是 备 机 或 数据 库 服务 器 防火 墙 没有 关闭 ,导致 主机 无 法 建立 到 备 机 
TCP 2810 端口 的 连接 。 

说 明 : 建议 关闭 备 机 和 数据 库 服务 器 防火 墙 。 

@ 数据 恢复 失败 。 

数据 恢复 失败 问题 原因 较 多 ,主要 有 主 备 iMC 版 本 不 一 致 、. 主 备 部 署 组 件 不 一 致 .丢失 
dbman 配置 信息 ,custompage 问题 ,数据库 版 本 导致 。 
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(a) 部 署 组 件 不 一 致 时 的 日 志 如 下 。 


[checkDBFiles] Instance icc_db_imc_icc invalid, there is no information on server 
[CDbRestore: :RestoreAllDatabase] Fail to check DB file. 

[checkDBFile()] File prefix invalid: NICRAC_unba_master, please confirm whether the DB user are 
same one on main server and standby server. 


(b) 版 本 不 匹配 的 日 志 如 下 。 


[checkDBFiles] Restore all database failed: Components is not match 
[checkDBFiles] Database: config_db. Components: 
imc_config_config_db_iMC-PLAT = 7.1.E0303H03 
imc_config_config_db_iMC-GAM = 7.1. EE0303 
imc_config_config_db_iMC-EUPLAT = 7.1. E0303 

[checkDBFiles] DbFileConf: config_db_imc_config_db_20141202_154131_full. db 
imc_config_config_db_iMC-PLAT = 7.1.E0303 
imc_config_config_db_iMC-GAM = 7.1.E0303 


说 明 : 

保证 主 、 备 iMC 服务 器 部 署 组 件 版 本 一 致 。 

D 对 于 主 服务 器 有 而 备 iMC 服务 器 未 部 署 的 情况 ,建议 不 要 在 主 服务 器 名 选 “* 上 传 ”。 

(c) 配置 文件 丢失 时 。 

分 析 : dbman 在 进行 恢复 时 要 检查 备份 时 生成 的 数据 库 描述 文件 dbman_date_time. 
conf, 找 不 到 该 文件 时 的 记录 如 下 。 


[checkDBFiles] Can not open config file in directory: D:\dbmanrestore 


此 时 需要 确认 对 应 目录 下 是 否 有 dbman_date_time. conf 文件 ,如 果 不 存在 则 需要 从 主机 
拷贝 至 备 机 后 再 进行 恢复 。 

(d) custompage 问题 相关 描述 如 下 。 

问题 日 志 如 下 。 


[CDbRestore: :RestoreOneLocalZipFile] Fail to restore. zip File:D:\beifen\custompage_20140604_ 
102002. zip size compare error localSize= 24633248, justfySize= 2036115498. 

[int Remove()] Fail to remove file D:\beifen\custompage_20140604_102002. zip. 

[CDbRestore: : RestoreAllDatabase ( DBFileBoxT& oFileBox, int flag )] Fail to restore 
strBeforeSQLScript ..NscriptNIMC-EAD_exec_before. bat 127.0.0.1 ead "iMC5_uameadcams" "D:N 
iMC 备份 " "D:VBF" 


解决 方法 : 删除 主 备 机 iMC\dbman\etc\dbman_addons. conf 中 包含 custompage 字眼 的 
行 ,然后 主 备 都 要 使 配置 生效 ,步骤 : 依次 单 击 * 重 启 监控 代理 ”> 配置” 确定 ”命令 。 或 者 
升级 PLAT 版 本 至 7.1 E0303H03 以 上 。 
Ce) 数据 库 版 本 导致 时 。 
问题 日 志 如 下 。 
2015-01-14 23:44:38 [ERROR] [CDbRestore: :ExecRestoreSql] Exec command fail 
2015-01-14 23:44:38 [DEBUG] [CDbRestore: : ExecRestoreSql] Exec sql log: 8 & 3169 ,级 别 16 ,状态 
1 ,服务 器 PLAT, 第 1 行 该 数据 库 是 在 运行 版 本 10.50.1600 的 服务 器 上 备份 的 。 该 版 本 与 此 服务 器 
(运行 版 本 10.00.5500) 不 兼容 。 请 在 支持 该 备份 的 服务 器 上 还 原 该 数据 库 ,或 者 使 用 与 此 服务 器 兼 


容 的 备份 。 消 息 3013, 级 别 16 ,状态 1, 服 务 器 PLAT, 第 1 行 RESTORE DATABASE 正在 异常 终止 。 
2015-01-14 23:44:38 [DEBUG] [Remove] Remove file: D:\Program Files\iMC\dbman\bin\dbop. sql. log 
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从 日 志 可 以 看 出 iMC 数据 是 在 SQL 版 本 10. 50. 1600(SQL 2008 R2) 版 本 备份 的 ,需要 
恢复 数据 的 SQL 版 本 为 10. 00. 5500(SQL 2008 SP3) ,由 于 10. 00. 5500 版 本 低 于 10. 50. 1600 
导致 数据 恢复 失败 ; 对 于 iMC dbman 备份 的 数据 来 说 ,可 以 将 低 版 本 备份 的 数据 恢复 至 高 版 
本 的 SQL( 限 制 条 件 ), 反 过 来 的 话 由 于 SQL 的 限制 会 导致 恢复 失败 。 

解决 办 法 : 升级 SQL 至 2008 R2 及 以 上 版 本 。 

说 明 : 限制 条 件 如 下 。 

SQL 2000 的 数据 不 可 以 恢复 到 高 版 本 SQL 数据 库 。 

SQL 2005 的 数据 可 以 恢复 到 SQL 2008 或 SQL 2008 R2( 包 括 补 丁 版 本 ) 数 据 库 。 

SQL 2008 的 数据 可 以 恢复 到 SQL 2008 R2( 包 括 补丁 版 本 )。 

SQL 2005 的 数据 不 可 以 恢复 到 SQL 2012 里 面 。 

SQL 2008 R2 是 否 可 以 恢复 到 SQL 2014 需要 确认 。 


云 计 算 产品 


Hc cAS 云 计 Ë 平台 License 使 用 


=== kit ý Sag qa 


x 


收 kimk 收集 主机 信息 FETI 外 申请 
(host; (hestid REENA 
PAF aah 


WEN) 云 计算 产品 1225 


E 9.1.1 H3C CAS 云 计 算 平台 i 
09 云 计算 产品 2 


H3C CAS 平台 的 云 资 源 和 云 服务 两 大 功能 依赖 于 CVM 组 件 和 CIC 组件 授 权 , 所 有 的 授 
权 码 和 唯一 标识 服务 器 硬件 信息 的 hostid 进行 绑 定 后 生成 License 文件 ,将 License 文件 导入 
CAS 平台 后 ,授权 才 会 正式 生效 。 

CVM 组 件 的 授权 控制 物理 CPU 的 个 数 。 比 如 有 2 台 服 务 器 ,每 台 服 务 器 包含 2 路 物理 
CPU , 且 每 路 CPU 为 6 核 ,那么 我 们 需要 申请 的 License 包含 4 个 物理 CPU 的 CVM 组 件 
授权 。 

CVM 组 件 授权 中 又 分 为 CVM 基础 包 和 CVM 管理 包 。CVM 基础 包 为 必 选 ,管理 包 为 
可 选 包 。 如 果 没 有 CVM 基础 包 , 在 申请 时 会 提示 错误 。 

CIC 组 件 的 授权 控制 用 户 申 请 虚拟 机 的 数量 。 比 如 用 户 购买 了 包含 30 个 虚拟 机 的 CIC 
组 件 License, 那 么 用 户 可 以 通过 云 服务 功能 申请 30 个 虚拟 机 。 

CIC 组 件 授 权 中 又 分 为 CIC 基础 包 和 CIC 管理 包 。CIC 基础 包 和 管理 包 都 是 可 选 包 。 

同样 CIC 基础 包 和 CIC 管理 包 可 以 释 加 。 

在 该 流程 中 ,有 部 分 操作 是 相同 或 类 似 的 ,本 文档 仅 对 首次 出 现 的 流程 进行 说 明 。 

2. 流程 图 相关 操作 说 明 

(1) 是 否 首 次 使 用 

H3C CAS 软件 分 为 企业 版 和 标准 版 ,因此 授权 文件 也 相应 分 为 了 企业 版 和 标准 版 。 授 
权 文 件 不 能 够 混用 , 即 企 业 版 授权 文件 不 能 加 载 到 标准 版 CAS 系统 ,同样 标准 版 授权 文件 不 
能 加 载 到 企业 版 的 CAS 系统 。 

说 明 : 首次 使 用 License 是 针对 某 一 个 CAS 的 一 套 授权 来 讲 的 ,而 不 是 针对 某 个 工程 师 
第 一 次 使 用 License。 首 次 使 用 即 表明 授权 已 确定 符合 客户 需求 ,不 涉及 服务 器 变更 或 授权 扩 
容 等 情况 。 

(2) 收集 主机 信息 Chostid) 

主机 信息 是 使 用 服务 器 硬件 信息 来 唯一 标识 服务 器 的 ,在 收集 后 会 形成 名 为 host. info 的 
文件 。H3C CAS License 需要 和 CVM 主机 的 物理 信息 进行 绑 定 , 以 下 是 两 种 收集 主机 信息 
的 方法 。 

说 明 : CVM 双 机 热 备 组 网 需要 收集 两 台 CVM 主机 信息 ,详细 见 (3) 。 

O License 管理 页 面 获取 主机 信息 。 

登录 CAS 系统 ,选择 “系统 管理 一 License 管理 ”的 “正式 申请 License” 选 项 卡 , 如 图 9-1 
所 示 。 

完成 基本 信息 的 填写 ,并 下 载 “host. info” 文 件 到 本 地 电脑 。 

@ 登录 页 面 获取 主机 信息 。 
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` 
CAS 
导航 < License 管理 
DE [E] tcense 详细 信息 | 3 正式 申请 Lioense | | | 注册 License 
o Qes 
b ERDE 最 终 用 户 的 信息 
MEEL * 用 户 姓名 : 
gr” 国家 /地 区 : Ga F 
BARAHA 
六 操作 员 “省 市 : 
Satana ` 公司 或 单位 名 称 : 
$ 在 线 操作 员 
名 ACL 第 略 地 址 : 
园 操作 日 志 ii: 
£ BEXHRE 一 一 
RANE 电子 邮件 地 址 : 
四 Ucense 管 理 联系 电话 : 
申请 人 信息 
* 姓名 : 
* 公司 或 单位 名 称 : 
* 电子 邮件 地 址 : 


9-1 License 管理 页 面 


在 浏览 器 中 输入 CAS 系统 的 URL 地 址 (http://ipaddress:port/cas) ,在 登录 页 面 中 单 击 
“产品 注册 ”按钮 ,如 图 9-2 所 示 。 


H3Cloud 云 计 算 解 决 方案 


H3C CAS 云 计算 管理 平台 
H3C Cloud Automation System 


图 9-2 CAS 系统 登录 页 面 
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在 弹出 的 “产品 注册 ”对 话 框 中 的 “请 输入 超级 管理 (admin) 的 登录 密码 ”的 文本 框 中 输入 
登录 密码 ,默认 密码 为 admin, 

在 “选择 您 要 执行 的 操作 ”的 下 拉 列 表 框 中 ,选择 “申请 新 的 License 或 升级 现 有 的 
License”。 单 击 “ 下 一 步 ?按钮 ,如 图 9-3 所 示 。 


选择 您 要 执行 的 操作 
“请 输入 超级 管 理 员 (admin) 的 登录 密码 ; 
“ 选择 您 要 执行 的 操作 : 

“国家 /地 区 : 


图 9-3 “产品 注册 "对话 框 执行 操作 
输入 "最 终 用 户 信息 ?和 ”申请 人 信息 ”。 单 击 “ 下 一 步 ?按钮 ,如 图 9-4 所 示 。 


电子 邮件 地 址 : 


联系 电话 : 


厂 申请 人 信息 
“姓名 : 
”公司 或 单位 名 称 : 
“电子 邮件 地 址 : 
“联系 电话 : 


图 9-4 “产品 注册 ”对 话 框 信息 填写 
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单 击 “ 下 载 ” 按 钮 ,将 主机 信息 文件 “host. info” 下 载 到 本 地 电脑 ,如 图 9-5 所 示 。 
四 产品 注册 Ix] 


请 下 载 主机 信息 文件 ,参考 产品 安装 指 号 软件 注册 部 分 的 相关 措 述 进行 注册 。 
主机 信息 文件 。 


|@e -5 |@ a | 
图 9-5 “产品 注册 ”对 话 框 下 载 文 件 


@ 双 机 热 备 组 网 获取 主机 信息 。 

CVM 双 机 热 备 时 需要 分 别 收集 两 台 主 机 的 主机 信息 ,并 下 载 host. info 文件 。 

假设 当前 主机 一 为 Master, 主 机 二 为 Slave。 先 收集 主机 一 的 主机 信息 ,然后 收集 主机 二 
的 主机 信息 。 收 集 主机 二 的 主机 信息 前 ,需要 进行 主 备 切换 。 

主机 一 信息 收集 : 通过 虚拟 IP 登录 CVM 的 Web 收集 主机 信息 ,操作 方法 同 (1) (2)。 

此 时 收集 的 主机 一 状态 为 Master, 主 机 二 的 状态 信息 为 Slave。 

CVM 双 机 主 备 切换 : 收集 完 Master 状态 的 主机 信息 后 ,需要 收集 Slave 状态 的 主机 信 
息 。 通 过 CVM 主 备 切换 ,使 虚拟 IP 运行 在 另外 一 台 主 机 。 

命令 操作 方法 : 


# cvm_resource_start.sh node02 


主机 二 信息 收集 : 通过 虚拟 IP 登录 CVM 的 Web 收集 主机 信息 ,操作 方法 同 (1) (2)。 

此 时 收集 的 主机 一 状态 为 Slave, 主 机 二 的 状态 信息 为 Master。 

在 首次 为 CAS 申请 License 和 进行 扩容 时 都 需要 执行 收集 主机 信息 的 操作 。 

(3) 生成 License 文件 

生成 License 文件 的 过 程 即 把 授权 信息 和 主机 信息 进行 绑 定 的 过 程 。 首 次 使 用 和 扩容 都 

在 浏览 器 中 输入 H3C 公司 网 站 URL 地 址 (www. h3c. com. cn) ,选择 “服务 支持 ”>“ 授 权 
业务 "命令 ,如 图 9-6 所 示 。 

选择 “License 首次 激活 申请 "命令 ,显示 “License 首次 激活 "页面 。 

说 明 : 在 扩容 时 ,选择 “License 激活 管理 ”>“License 扩容 激活 申请 ”命令 ,其 他 操作 
类 似 。 
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培训 认证 渠道 合作 关于 我 们 。 “个 性 化 服务 


AEE. Skit 


: 3 温暖 感 专业 化 
RETS ee Hers 
和 技术 案例 


Š RAFIRARRBA AET. Sit 
WAAME 主 册 中 心 
WHERE Fa tuns. 
产品 生命 周明 Hci6 二 二 > 
ñ = 
ALALE H3Care 俱 乐 部 
Licanse 普 次 池 活 申请 HORREA 
硬件 维修 & 更 换 Ñ License b Shi 服务 产品 
授权 业务 H3C8OR 885 SE 
° License Fb s miN 
产品 生命 周期 
服务 产品 
HICA 


图 9-6 H3C 公司 网 站 授权 业务 
在 “产品 分 类 ”下 拉 列 表 框 中 选择 “ 云 计算 _H3C CAS 云 计算 管理 平台 ”命令 ,如 图 9-7 


所 示 。 


H3C Ñ 登录 | 注册 | Hace 


培训 认证 渠道 合作 关于 我 们 我 的 H3C 


首页 ， 服 务 支持 ”授权 业务 > 


ticenseik8s 


REES 要 对 从 未 注册 激活 过 H3C 软 件 的 设备 进行 初次 申请 ， 请 选择 您 要 注 册 的 产品 分 类 ; 如 果 要 

软件 下 载 进行 规模 扩 奉 、 功 能 扩展 、 时 限 延 长 等 ， 请 选择 "License 扩 容 激 活 申请 ” 

文档 中 心 

工具 资源 请 选择 产品 分 类 : 

ngem Taran — ss El 

BRES 请 输入 授权 码 
、License 首 次 激 法 申请 E 如 果 您 不 确定 是 娜 个 产品 分 类 ， 请 输入 一 个 授权 码 ， 然 月 
，License 扩 容 数 活 申 请 

产品 生命 周期 


图 9-7 H3C 公司 网 站 License 首次 激活 


“授权 信息 ”中 选择 方式 二 添加 CVM 和 CIC 的 授权 码 信息 (不 要 添加 CAS 软件 授权 码 ) 。 
“设备 信息 ”中 的 “请 选择 双 机 备份 类 型 " 栏 根据 现场 实际 情况 选择 ,如 果 CVM 为 单机 ， 


则 单 击 “ 无 " 单 选 按钮 ; 如 果 CVM 为 双 机 , 则 单 击 * 双 机 热 备 ” 单 选 按钮 。 以 CVM 单机 为 
例 , 单 击 “ 无 " 单 选 按钮 。 在 “设备 信息 ” 栏 单 击 “* 上 传 ” 按 钮 上 传 “host. info” 文 件 ,如 图 9-8 
所 示 。 


在 “用 户 信息 ” 中 输入 必 填 信息 后 单 击 “ 获 取 激活 码 ( 文 件 )”, 将 激活 文件 下 载 本 地 电脑 ,如 


图 9-9 所 示 。 


(4) 注册 License 文件 
以 下 是 两 种 注册 License 的 方法 。 
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casota 
服务 公告 要 对 从 未 注册 激 壬 过 H3C 软 件 的 设备 进行 初次 申请 ， 请 选择 恋 要 注册 的 产品 分 类 如 果 要 对 已 注册 激活 
渠道 服务 规模 扩 音 、 功 能 扩展 、 时 限 延 上 等 ， 请 选择 "License 扩 音 涩 笑 申请 ” 
软件 下 载 
文档 中 心 请 选择 产品 分 类 : 
工具 资源 产品 人 类 计生-_H3C CAS 王 计算 管 理 了 台 =° |=] 
硬件 维修 8 更 换 FRÈS: 
muis T: 时 A TREER 
> License RAGS hiñ 
T - DR BRANAR pe a g 
» License 扩 窒 激 活 申请 目 订单 获取 其 他 授权 码 : LL | 消除 
产品 生命 周期 继续 添加 
服务 产品 
H3Care 候 š 设备 信息 : 
id 请 选择 双 机 备份 类 型 : Ozona 
设备 信息 文件 : E ER 
图 9-8 H3C 公司 网 站 License 首次 激活 信息 填写 
网 户 信息 : 
最 终 容 户 单位 名 称 : 
申请 单位 名 称 : 
申请 联系 人 姓名 : J 
申请 联系 人 电话 ; | 
申请 联系 人 E-mail; 
申请 联系 人 邮编 : 
申请 联系 人 地 址 : 
项 目 名 称 : w—rraaras=asarun | 
kum: ~~~ hor] 
El 已 次 并 同意 法 律 声明 所 壕 服务 条 款 各 项 内 容 H3C 授 权 服 务 门户 法 律 声明 ~ 


9-9 激活 文件 


说 明 ; CVM 双 机 热 备 组 网 需要 注册 到 两 台 CVM 主机 ,详细 见 (3) 。 
Q License 管理 页 面 注 册 。 


选择 “系统 管理 ”>“License 管理 ”的 “注册 License” 选 项 卡 , 单 击 “浏览 ?按钮 选择 License 
激活 文件 ,然后 单 击 “* 上 传 ”按钮 进行 注册 ,如 图 9-10 所 示 。 


图 9-10 License 注册 
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© 登录 页 面 注册 。 
在 如 图 9-11 所 示 的 “选择 您 要 执行 的 操作 ”的 下 拉 列 表 框 中 选择 “使 用 License 文件 对 产 
品 进行 注册 ”命令 。 


一 选择 您 要 执行 的 氛 作 
”请 输入 超级 管理 员 (admin) 的 登录 密码 : 
“选择 您 要 执行 的 操作 : 

“国家 /地 区 : 


图 9-11 使 用 License 文件 对 产品 进行 注册 


在 “请 选择 License 文件 ” 栏 单 击 * 浏 览 ? 按 钮 选择 License 激活 文件 。 
然后 单 击 * 上 传 ”按钮 进行 注册 ,如 图 9-12 所 示 。 


9-12 登录 页 面 注册 


© CVM 双 机 组 网 注册 License。 
假设 当前 主机 一 为 Master, 主机 二 为 Slave。 先 对 主机 一 注册 License, 然 后 对 主机 二 注 
册 License。 主 机 二 注册 License 前 ,需要 进行 主 备 切换 。 
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主机 一 注册 License: 注册 方法 同 (1)(2)。 

CVM 双 机 主板 切换 : 完成 Master 状态 的 主机 License 注册 后 ,需要 对 Slave 状态 的 主机 
注册 License。 通 过 CVM 主 备 切换 ,使 虚拟 IP 运行 在 另外 一 台 主 机 。 

命令 操作 方法 如 下 。 


# cvm_resource_start. sh node02 


主机 二 注册 License: 注册 License 文件 方法 同 (1)(2) 。 

@ License 注册 完成 后 显示 o 

License 注册 完成 后 ,在 “系统 管理 一 License 管理 ”的 “License 详细 管理 ?选项 卡 中 显示 
License 信息 。 

在 “License 详细 信息 ”中 包含 了 四 个 部 分 : CVM 组 件 .CIC 组 件 ,. 版 本 和 License 有 效 期 ， 
如 图 9-13 所 示 。 


SRS [E Uicense 详细 信息 | B 正式 申请 License | | | 注册 License | 
o @=5 Í 
> eR | [use itmaa 
2 9) masaq | CvM 组 件 
anme 可 管理 CPU 个 数 : 4 
mna 已 管理 CPU 个 数 : 0 
anra 
PRAHA amt 
banta ee 
Eatas | || Pwmaun tn: ° 
医 日 志文 件 收集 | 
Pema | |== 企业 版 
四 ucense 管 理 | | Ucense 有 效 期 MAMIE. 


图 9-13 License 详细 信息 


(5) 是 否 扩容 

正式 License 扩容 申请 和 正式 License 首次 申请 操作 方法 基本 相同 。 在 “设备 信息 ”中 要 
上 传 “历史 激活 文件 ”。 

正式 License 扩容 时 ,不 依赖 于 CVM 基础 包 , 可 以 直接 输入 CVM 管理 包 的 授权 码 。 

扩容 后 生成 的 激活 文件 会 释 加 原 License 信息 。 比 如 原 License 中 包含 了 4 个 物理 CPU 
和 30 个 虚拟 机 ,扩容 时 输入 的 授权 码 包含 8 个 物理 CPU 的 CVM 管理 包 和 50 个 虚拟 机 的 
CIC 管理 包 ,那么 扩容 后 生成 的 激活 文件 包含 12 个 物理 CPU 和 80 个 虚拟 机 。 

(6) 扩容 成 新 license 文件 

扩容 激活 有 2 种 方法 ,如 图 9-14 所 示 。 

O 上 传 最 新 的 历史 激活 文件 : 最 新 的 历史 激活 文件 是 指 我 们 上 次 通过 License 平台 获取 
到 的 最 新 的 激活 文件 ,可 以 通过 当时 留 下 的 注册 邮箱 查找 。 

@ 上 传 服务 器 主机 信息 : 收集 目前 运行 主机 的 host. id 信息 。 

通过 上 述 2 种 方式 都 可 以 进行 扩容 激活 。 历 史 激 活 文件 包含 了 历史 的 授权 码 信 息 和 服务 
器 主机 信息 。 最 新 的 服务 器 主机 信息 也 是 包含 了 历史 授权 码 和 主机 信息 ,最 后 的 效果 一 致 。 
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9-14 扩容 激活 的 方法 


(7) 是 否 变更 服务 器 

H3C CAS License 加 载 在 CVM 主机 。 完 成 License 加 载 后 ,发 生 CVM 主机 故障 等 情况 
时 ,需要 更 换 CVM 主机 。 这 时 需要 在 新 的 CVM 主机 上 加 载 License 文件。 

新 License 文件 获得 需要 在 License 平台 中 选择 “设备 更 换 授权 变更 管理 ”>“ 设 备 更 换 授 
权 变 更 申请 ”命令 ,如 图 9-15 所 示 ,进行 操作 ,在 操作 前 应 准备 好 客户 承诺 书 以 及 新 老 服务 器 
的 host. info 文件 。 


H3C License 管 理 平台 


设备 更 换 授权 变更 申请 


产品 分 类 [EW ac CASE 计 其 管 理 下 台 EJ 
上 设备 更 换 授权 变更 申请 原 服务 器 关联 授权 信息 

E MESSSESESSS l BIRES2D EI R23s © 原 服务 器 关联 的 数 笑 码 〈 文 件 》 加 原 服务 器 关联 的 授权 码 

原 服 务 器 关联 的 数 和 文件 [ 308 


— 


9-15 设备 更 换 授 权 变更 申请 


说 明 : 新 老 服务 器 的 host. info 获取 方法 详 见 “ 检 查 主机 信息 (hostid)” 步 又。 

(8) 填写 例外 申请 承诺 书 并 请 客户 签字 确认 

客户 承诺 书 可 在 H3C 内 部 网 站 DMP FR. 

在 申请 License 前 需要 客户 填写 (H3C CAS 云 计 算 管 理 平台 License 例外 申请 及 承诺 
书 》, 如 图 9-16 所 示 并 由 客户 签字 盖 章 。 

将 该 文件 扫描 成 电子 件 ,后 续 申 请 时 使 用 该 电子 件 。 

《H3C CAS 云 计算 管理 平台 License 例外 申请 及 承诺 书 . doc) 获 取 方 法 如 下 。 

公司 DMP 网 站 ,URL 地 址 为 “http://dmp. h3c. com”, 存 放 路 径 为 “技术 支持 中 心 一 01- 
IP 网 络 产品 一 60-2013 产品 一 02- 工 程 、 开 局 资料 ”。 

(9) 通过 License 平台 处 理 

上 传 * 原 服务 器 关联 的 激活 码 ( 文 件 )? 或 者 * 原 服务 器 关联 的 授权 码 ”, 再 根据 提示 进行 下 
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H3C License 例 外 申请 及 承诺 书 。 


本 公司 〈 单 位 ) : 
因 存 在 下 面 所 列 情况 ， 需 要 使 用 H3C 公 司 的 例外 变更 流程 申请 新 的 License 激 活 文件 。 
以 此 文件 证 明 本 公司 (单位 ) 是 H3C 公 司 CAS 云 计算 管理 平台 产品 的 合法 用 户 , 并 承诺 : 
a) “销毁 并 不 再 使 用 本 申请 变更 前 已 有 的 License 激 活 文件 /激活 码 ， 否则 视 为 使 用 盗版 

软件 并 承担 由 此 产生 的 相关 后 果 。 
b) 从 本 申请 变更 前 的 计算 机 上 部 载 相关 的 应 用 程序 。 

所 属 产 品 《〈 单 选 ? 
口 CAs 产 品 
例外 情况 
口 更 换 服务 器 或 者 硬件 配置 
旧 机 器 标识 字符 串 新 机 器 标识 字符 串 
变更 前 原 License 授 权 中 包含 的 组 件 及 规模 信息 


9-16 H3C License 例外 申请 及 承诺 书 
一 步 操作 ,如 图 9-17 所 示 。 


请 选择 产品 w 本 
产品 分 类 云 计算 _H3C CAS 云 计算 管理 平台 


原 服 务 器 关联 信息 
不服 务 器 关联 的 信息 类 型 


原 服务 器 关联 的 地 活 文件 
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(10) 授权 码 找 回 
授权 码 若 丢失 了 可 以 通过 LMP 平台 找 回 授权 码 , 如 图 9-18 所 示 。 
W005) | BE | EN EW 
H3C License 管 理 平台 
wang 
' ERPIKEMiñ 
=s ——— 
usea 
sapna E - serans 
mea E 
A ms, Emal C 
市 请 联系 人 sp 后 | mna | EARI Fe 
Ll = — 
= a 


图 9-18 通过 LMP 平 台 找 回 授权 码 
可 以 通过 订单 号 或 者 软件 条 码 进行 找 回 。 
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1. 开始 

虚拟 机 是 指 通过 软件 模拟 的 具有 完整 硬件 系统 功能 的 、 运 行 在 一 个 完全 隔离 环境 中 的 完 
整 计算 机 系统 。 虚 拟 机 启动 异常 分 为 两 种 情况 : 虚拟 机 无 法 启动 和 虚拟 机 启动 后 无 法 进入 操 

对 于 虚拟 机 无 法 启动 的 情况 : 由 于 虚拟 机 依附 于 宿主 机 而 存在 ,因此 问题 定位 思路 是 , 先 
检查 宿主 机 配置 和 状态 ,再 检查 虚拟 机 自身 配置 。 

对 于 虚拟 机 启动 后 无 法 进入 操作 系统 情况 : 需要 查看 虚拟 机 引导 设备 和 磁盘 类 型 ,对 于 
P2V/V2V 迁移 至 CAS 平 台 的 虚拟 机 ,需要 确认 的 是 在 迁移 之 前 打 入 mergeide. reg 注册 表 ， 
并 且 V2V 迁移 之 前 需要 卸载 tools, 

2. 流程 图 相关 操作 说 明 

(1) 虚拟 机 是 否 无 法 启动 

如 果 虚 拟 机 无 法 启动 ,在 任务 栏 会 有 “启动 失败 ”的 报错 ,如 图 9-19 所 示 。 

如 果 虚 拟 机 启动 成 功 , 在 任务 栏 会 有 “启动 成 功 ” 的 提示 ,如 图 9-20 所 示 。 


BENEN F0120 头 下。 Beh F0120 全 
图 9-19 虚拟 机 启动 失败 报错 图 9-20 虚拟 机 启动 成 功 提示 


(2) 宿主 机 是 否 开启 硬件 辅助 虚拟 化 

查看 宿主 机 是 否 开 启 硬件 辅助 虚拟 化 功能 。 

MA: lsmod | grep kvm 

例如 : 通过 命令 查看 ,可 以 确认 宿主 机 加 载 了 KVM 模块 ,表示 硬件 辅助 虚拟 化 功能 已 经 
开启 ,如 果 输 入 命令 没有 任何 输出 ,说 明 宿 主机 未 开启 硬件 辅助 虚拟 化 。 


root@HZ-CASO1-CVK01: 一 # lsmod | grep kvm 
kvm_intel 123137 21 
kvm 336971 1 kvm_intel 


(3) 开启 宿主 机 硬件 辅助 虚拟 化 功能 
宿主 机 启动 时 在 硬件 自 检 界面 按 F9 键 进入 BIOS, 如 图 9-21 所 示 。 


图 9-21 进入 BIOS 


WN 云 计 算 产 品 


1237 
选择 System Options 命令 ,在 弹出 的 对 话 框 中 选择 Processor Options 命令 ,如 图 9-22 
所 示 。 


9-22 进入 Processor Options 


选择 Intel(R) Virtualization Technology 命令 ,开启 硬件 辅助 虚拟 化 功能 ,如 图 9-23 所 示 。 


图 9-23 开启 硬件 辅助 虚拟 化 功能 
(4) 查看 宿主 机 内 存 .CPU 资源 利用 率 


CAS 管理 界面 单 击 主机 ,在 “概要 ”选项 卡 右上 角 统 计 栏 查看 主机 实时 内 存 、CPU 利用 率 
统计 。 如 果 宿 主机 剩余 内 存 `.CPU 资源 小 于 所 需 启 动 的 虚拟 机 内 存 、.CPU 配置 , 则 虚拟 机 会 
因 资 源 不 足 而 无 法 正常 启动 ,关闭 或 者 迁移 暂时 不 需要 使 用 的 虚拟 机 ,如 图 9-24 所 示 。 
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图 9-24 查看 宿主 机 内 存 .CPU 资源 利用 率 
(5) 查看 虚拟 机 磁盘 文件 是 否 存在 


单机 虚拟 机 ,在 “概要 ”选项 卡 的 “存储 信息 ” 栏 中 ,查看 虚拟 机 的 虚拟 磁盘 文件 以 及 基础 镜 
像 文件 的 名 称 和 路 径 , 如 图 9-25 所 示 。 


1238 根 叔 的 云图 一 一 网 络 故障 大 排查 


存储 信息 | 
REER BHRD MESH = == BRAR 
kia hda ide NmsimagesWin2008vCentercone 3906GB 文件 NmsAmagesWin2008-vCenter_base_0 
pe] hac ie aooue x 


图 9-25 查看 虚拟 机 磁盘 是 否 存在 


确认 虚拟 机 的 虚拟 磁盘 文件 以 及 基础 镜像 文件 的 存在 。 
命令 : Is-l 


例如 : 进入 虚拟 机 虚拟 磁盘 文件 所 在 目录 ,通过 命令 查看 ,可 以 确认 虚拟 机 的 虚拟 磁盘 文 


件 以 及 基础 镜像 文件 存在 ,如 图 9-26 所 示 。 


root@ HZ-CAS01-CVK02: /vms/images# ls -| 
total 85581940 


EE 1 rootroot 14413725696 Dec 1 01:53 


drwxr-xr-x 3 root root 4096 Dec 1022:31 ./ 
drwxr-xr-x 10 root root 4096 Dec 13 01:08 ../ 
-rw------- 1 root root 12861833216 Dec 10 22:05 vCenter-chunjing 


= 1 rootroot 15929966592 Dec13 23:13 win2008-vCenter 


In2008-vCent 
In2008-vCenter-clone 


和 1 rootroot 1382023168 Dec 10 20:22 
-EW 1 rootroot 12889096192 Dec 12 00:27 win2008-vCenter-S1010 V 
= 1 rootroot 7862222848 Dec 9 23:10 win2008-vCenter-vs-clone 


9-26 ”虚拟 机 虚拟 磁盘 文件 所 在 目录 


(6) 查看 虚拟 机 USB 设备 配置 


确认 虚拟 机 配置 的 USB 设备 已 经 插入 对 应 的 宿主 机 USB 插 模 ,如 图 9-27 所 示 。 如 果 宿 


主机 没有 插入 USB 设备 ,请 删除 虚拟 机 上 的 USB 设备 。 
TA BRERA — 2013-ftp-server 


DX s maa 

© IDE wa hdc 

B virtio it vda 

E Virtio ü vád 

Œ 网 络 ocda:411d3f86 


I USB 设 备 0x1624/0x095112 
*=no 


sa 


[89 增加 硬件 | ”| 党 _ 肌 硬件 | w — Es. 


其 ”关闭 


图 9-27 虚拟 机 USB 设备 配置 
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(7) 查看 虚拟 机 光驱 配置 
如 果 光 驱 源 路 径 是 一 “dev”>“cdrom”, 表 示 虚 拟 机 使 用 所 在 宿主 机 光驱 ,需要 确保 宿主 
机 有 光驱 ,如 图 9-28 所 示 。 


图 9-28 虚拟 机 光驱 配置 


(8) 查看 虚拟 机 软驱 配置 
软驱 中 加 载 的 文件 必须 为 软驱 文件 ,如 图 9-29 所 示 ,后缀 名 为 . vfd, 如 果 挂 载 其 他 格式 的 
文件 则 虚拟 机 无 法 启动 。 


图 9-29 ”虚拟 机 软驱 配置 
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(9) 查看 虚拟 机 引导 设备 配置 

如 果 虚 拟 机 有 多 个 磁盘 ,需要 确保 安装 系统 的 磁盘 引导 优先 级 最 高 。 在 “修改 虚拟 机 ”对 
话 框 的 “选项 ” 栏 选择 “引导 设备 "命令 ,然后 在 右边 “引导 设备 ”" 复 选 框 色 选 需要 修改 优先 级 的 
设备 , 单 击 “ 全 "按钮 ,并 应 用 配置 ,如 图 9-30 所 示 。 修 改 引导 设备 需要 虚拟 机 重启 生效 。 


自动 启动 
D 在 主机 启 zj 时 启动 虚拟 机 


IDE št hdb 设置 虚拟 机 引导 设备 


加 IDEjEnhdc 先 选 中 引导 设备 ， 再 调整 引导 优先 级 ， 引 号 配置 才能 生效 。 
加 网 络 0c:da41:1e:00:cc 
&#5=6 


CORE D 引导 设备 
sm) 控制 台 vnc E| DEIRE nab 
Davwa 
Yano 回 | IDE x hac 

回 | 网络 ocda411e00:cc 


9-30 ”修改 磁盘 引导 优先 级 


(10) 查看 虚拟 机 磁盘 类 型 
如 果 虚 拟 机 磁盘 为 SCSI 磁盘 或 者 virtio 磁盘 ,如 图 9-31 所 示 , 需 要 确保 操作 系统 已 经 安 
装 对 应 的 驱动 ,否则 系统 无 法 引导 。 


全 概要 
Doru 自动 启动 

anr E 在 主机 启动 时 启动 虚拟 机 
PSSE 

E IDE Nt hda 
E DERE hdd 设置 虚拟 机 引导 设备 

© IDE 388 hdc 先 选 中 引导 设备 ， 再 调整 引导 优先 级 ， 引 号 配置 才能 生效 。 
Œ 网 络 ocda:41:1e:00:cc 
$ 5=6 

ORE 回 引导 设备 
sm jetë nc 
Tatwa 


图 9-31 虚拟 机 磁盘 类 型 
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(11) 虚拟 机 是 否 为 P2V/V2V 迁移 至 CAS 平台 

确认 虚拟 机 是 P2V/V2V 迁移 至 CAS 平台 的 还 是 在 CAS 平台 创建 的 。 

(12) Windows 虚拟 机 是 否 报错 0x0000007B 

P2V/V2V 迁移 后 的 Windows 虚拟 机 启动 ,查看 在 进入 操作 系统 过 程 中 是 否 有 报错 
0x0000007B, 详 细 报 错 信 息 如 图 9-32 所 示 。 


图 9-32 报错 信息 


(13) 源 物理 机 /虚拟 机 打 入 Mergeide. reg 注册 表 

在 源 物理 机 /虚拟 机 中 运行 Mergeide. reg 注册 表 , 并 保证 系统 分 区 的 “Windows” 一 
“system32”—>“drivers”—> H 3 F £f fE atapi. sys、intelide. sys, pciide. sys 和 pciidex. sys 四 个 
EE 

(14) V2V 虚拟 机 迁移 前 是 否 已 删除 tools 

确认 V2V 虚拟 机 在 迁移 之 前 是 否 已 经 删除 相应 的 tools, 

(15) 删除 源 虚 拟 机 tools 

虚拟 机 的 tools 与 平台 关联 性 较 强 , 如 果 迁 移 至 其 他 虚拟 化 平台 则 无 法 正常 运行 ,会 导致 
各 类 问题 ,因此 在 V2V 迁移 之 前 ,需要 删除 虚拟 化 平台 的 tools。 
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Er 9.1.3 零 存储 集群 添加 节点 
09 云 计算 产品 >>> 步 又 详解 


1. 开始 

零 存储 集群 添加 节点 需要 检查 配置 文件 、 磁 盘 数 据 、TCP 端口 等 多 项 内 容 , 涉 及 的 内 容 较 
多 且 较 复杂 。 故 障 大 概 可 以 分 为 以 下 五 大 类 。 

D 各 类 配置 文件 有 多 余 或 缺失 。 

@ 配置 文件 内 容错 误 。 

@ 数据 磁盘 配置 问题 。 

@ UMP 界面 配置 错误 。 

@ 3260 端口 被 占用 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 各 配置 文件 存在 情况 

在 “/opt/mdsyVetc” 目 录 下 使 用 1 命令 如 图 9-33 所 示 。 


root@ HZ-CAS01-CVK01:/opt/mds/etc# ll 

total 28 

drwxr-xr-x 3 rootroot 4096 Aug 3 17:51 ./ 
drwxr-xr-x 7 rootroot 4096 Aug 3 17:51 ../ 
-rw-r--r-- l root root 53 Sep 27 2013 cgroup.conf 
1 root root 22 Jul 17 2013 cluster.conf 
1 root root 28 May 13 18:19 hosts.conf 
-rw-r--r-- 1 rootroot 426 Aug 3 17:51 lich.conf 
drwxr-xr-x 3 root root 4096 Aug 3 17:52 ump/ 


图 9-33 各 配置 文件 存在 情况 


默认 安装 完 CAS 以 后 ,会 存在 hosts. conf 文件 、lich. conf 文件 和 cgroup. conf 文件 ， 
cluster. conf 文件 不 会 存在 。 
O 如 果 有 如 图 9-34 所 示 报 错 ,可 以 判定 为 存在 cluster 文件 。 


A SMARA + 
ERROR: 添 加 节点 失败 :ExecFault([1395733062 2014-03-25 15:37:42] ERROR:cluster already exist ) 
(集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
< SIP 1921682 103 =m: [一 一 
(集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
= PAPS 1921682104 8:" [二 一 


图 9-34 存在 cluster 文 件 报错 
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通过 使 用 rm 命令 手工 删除 cluster. conf 文件 。 


root@ HZ-CAS01-CVK01:/opt/mds/etc# rm cluster. conf 


@ 如 果 有 如 图 9-35 所 示 报 错 , 可 以 判定 为 缺少 hosts. conf 文件 。 


带 * 号 的 必 填 项 dh 
ERROR:ExecFault(Traceback (most recent call last): File "/opt/mds/lich/admin/syncump.py”, line 317, in 
<module> result = main() File "/opt/mds/lich/admin/syncump.py”, line 302, in main res = fn(*fn_args, 
**fn_kwargs) File "/opt/mds/lich/admin/syncump.py”, line 137, in etc_hosts res = self.lich_exec(host,cmd) 

File "/opt/mds/lich/admin/syncump.py”, line 83, in lich_exec raise LichFault('LichFault(%s)'%error) 
— main ___.LichFault: LichFault(cat: /opt/mds/etc/hosts.conf: No such file or directory ) ) 
£ (集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
sp: 密码 := 
(= PIP” | 1921682103 TA: zr 
— (集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
d PAP: | 1921682104 FA: š x= 
| 确定 | ma 
— á 


9-35 ”缺少 hosts. conf 文件 报错 


使 用 touch 命令 添加 一 个 空白 hosts. conf 文件 ,文件 中 不 需要 输入 任何 内 容 。 


root@ HZ-CAS01-CVK01:/opt/mds/etc# touch hosts. conf 


© 如 果 有 如 图 9-36 所 示 报 错 , 可 以 判定 为 缺少 lich. conf 文件 。 


ERROR:ExecFault([1414742890 2014-10-31 16:08:10] ERROR:open /opt/mds/etc/lich.conf fail, ret 2) 


/ (集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
rama CEL s PRESS 密码 :~ 一 
— (集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
— HAP: | 10.888.40 EA: = 
确定 取消 
4 


图 9-36 ”缺少 lich. conf 文件 报错 
通过 scp 命令 从 其 他 主机 拷贝 一 个 文件 至 此 主机 。 


root@ HZ-CAS01-CVK02:/opt/mds/etc# scp lich. conf 10.88.8.39:/opt/mds/etc/lich. conf 


Warning: Permanently added '10.88.8.39' (ECDSA) to the list of known hosts. 
lich. conf 
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(2) 检查 各 类 配置 文件 内 容 

集群 添加 节点 时 系统 会 对 各 类 配置 文件 的 内 容 进 行 检 查 , 如 果 内 容 不 符合 要 求 则 节点 无 
法 添加 到 集群 中 。host. conf 文件 记录 了 节点 主机 名 和 存储 内 网 IP 的 映射 ,节点 未 加 入 集群 
时 此 文件 必须 为 空 ; lich. conf 配置 是 零 存储 的 主要 配置 文件 ,记录 了 集群 名 称 target 前 级 、 
存储 内 网 网 段 信息 等 信息 ,除了 存储 内 网 网 段 信息 必须 在 后 台 配 置 外 ,其 他 信息 都 可 以 通过 
UMP 界面 配置 并 同步 至 后 台 配 置 文件 ,networks 字段 必须 配置 24 一 30 位 掩 码 的 网 段 。 

O 如 果 有 如 图 9-37 所 示 报 错 , 可 以 判定 为 hosts. conf 文件 中 有 内 容 。 


添加 


带 “ 号 的 必 二 项 dp 
ERROR:ExecFault([1395732030 2014-03-25 15:20:30] ERROR:hostname F0123-3 double ) 


(集群 内 网 地 址 , PIRS 14) (节点 root 用 户 密码 ) 


— A S 
< HAP: 192.168.1103 FA: aee s 
(集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
Va 节点 IP:= 密码 := - 
192.168.1.104 o 


图 9-37 hosts. conf 文件 中 有 内 容 报错 
通过 vim 编辑 hosts. conf 文件 ,删除 文件 中 的 内 容 


root@ HZ-CAS01-CVK01:/opt/mds/etc# vim hosts. conf 


© 如 果 有 如 图 9-38 所 示 报 错 , 可 以 判定 存储 内 网 掩 码 超出 范围 。 


ASMAA + 


ERROR: RAMASA :ExecFault([1398246638 2014-04-23 17:50:38] ERROR:need indude N/A ) 


= (RRAPO, PRE 14) Rro AER) 
— DP” Ü 10013266 aai pm - 

à (RRADHE 只 十 写 1 个 ) (ñerrootm aE) 
— WP | 10013267 L B P === 一 
ar 取消 


图 9-38 存储 内 网 掩 码 超出 范围 报错 


登录 CAS 平台 , 单 击 需 要 修改 的 节点 ,选择 "虚拟 交换 机 ”对话 框 ,然后 修改 存储 内 网 
vswitch ,保证 掩 码 在 指定 范围 内 ,如 图 9-39 所 示 。 


1246 根 叔 的 云图 一 一 网 络 故障 大 排查 


O 修改 虚拟 交 换 机 


[xj 


Q 请 输入 虚拟 交换 机 使 用 的 物理 了 网卡 、 卫 地 址 、 子 网 搞 码 及 网 关 信息 。 


物理 接口 : 


le 上 - 步 |> T-# |O ma | 
图 9-39 “修改 虚拟 交换 机 ”对 话 框 


登录 CAS 后 台 , 使 用 vim 修改 lich. conf 配置 文件 ,将 networks 段 的 存储 内 网 网 段 掩 码 
修改 为 相应 位 数 。 


root@ HZ-CAS01-CVK01: /opt/mds/etc# vim lich. conf 
globals { 
# clustername mds; 

home /opt/mds; 

# arbitor 10.88.8.1; 

nohosts on; 

networks { 

10.0.132.0/16; 


} 
) 
iscsi ( 
iqn iqn.2001-04-123. com.h3c; 


) 


(3) 检查 数据 磁盘 挂 载 点 

对 于 零 存储 来 说 ,每 个 节点 上 的 数据 磁盘 数量 和 挂 载 点 数量 必须 一 致 , 且 挂 载 点 必须 从 0 
开始 依次 编号 ,如果 挂 载 点 数量 大 于 数据 磁盘 数量 , 则 无 法 将 节点 添加 进 集 群 中 。 在 “/opt/ 
mds/disk” 目 录 下 通过 11 命令 查看 存在 的 挂 载 点 数量 。 


root@ HZ-CAS01-CVK01: /opt/mds/disk # ll 
total 28 

drwxr-xr-x 7 root root 4096 Oct 14 13:47 . / 
drwxr-xr-x 7 root root 4096 Aug 317:51 ../ 
drwxr-xr-x 2 root root 4096 Aug 317:51 0/ 
drwxr-xr-x 2 root root 4096 Oct 14 13:47 1/ 
drwxr-xr-x 2 root root 4096 Oct 14 13:47 2/ 
drwxr-xr-x 2 root root 4096 Oct 14 13:47 3/ 
drwxr-xr-x 2 root root 4096 Oct 14 13:47 4/ 


如 果 存 在 如 图 9-40 所 示 报 错 , 可 以 判定 存在 多 余 磁 盘 挂 载 点 。 


E> 云 计 算 产 品 1247 


带 * 号 的 必 填 项 


dh 
ERROR: 添 加 节点 失败 :ExecFault([1395729922 2014-03-25 14:45:22] ERROR: 192. 168.2.103:/opt/mds/disk/3/ 
not mount ) 
— (集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
— SIP | 1921682103 T07 fa Ti 
—_ (集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
/ Wk Sipas m 
= PAP: 192.168.2104 ER: oo s 
确定 | | 取消 
iu £ 


图 9-40 存在 多 余 磁 盘 挂 载 点 报错 
统计 出 节点 所 拥有 的 数据 磁盘 的 数量 ,通过 rm -rf 命令 删除 多 余 挂 载 点 目录 。 


root@ HZ-CAS01-CVK01 :/opt/mds/disk# rm -rf 3/ 
root@ HZ-CAS01-CVK01:/opt/mds/disk# rm -rf 4/ 


(4) 删除 数据 磁盘 内 数据 


零 存储 集群 添加 节点 时 ,必须 保证 节点 内 数据 磁盘 没有 数据 ,否则 无 法 将 节点 加 入 集群 。 
通过 “rm -rf /opt/mds/disk/ * / * ”命令 删除 所 有 挂 载 点 的 数据 。 


root@ HZ-CAS01-CVK01:/opt/mds/disk# rm -rf /opt/mds/disk/ * / * 


(5) 检查 UMP 界面 配置 
在 UMP 界面 添加 节点 时 要 求 输入 IP 地 址 ,此 地 址 必须 为 存储 内 网 IP, 如 果 输 入 其 他 网 


段 地 址 会 导致 节点 无 法 正常 加 入 。 


如 果 有 如 图 9-41 所 示 报 错 , 可 以 判定 为 IP 地 址 输入 错误 。 


带 * 呈 的 必 填 项 * 
ERROR: 添 加 节点 失败 :ExecFault([1395729812 2014-03-25 14:43:32] ERROR:need indude 192.168.1.103 ) 
— (集群 内 网 地 址 , R8514) (节点 root 用 户 密码 ) 
i= HAPT | 1921682103 g: zu 
4 (集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
WIP:™ | 1921682104 r7 = 
取消 


图 9-41 IP 地 址 输入 错误 报错 
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输入 正确 的 存储 内 网 IP 地 址 。 

(6) 检查 虚拟 共享 存储 配置 

虚拟 共享 存储 和 有 零 存储 都 需要 使 用 3260 端口 ,存在 冲突 ,因此 不 能 共存 。 运 行 零 存储 之 
前 需要 保证 虚拟 共享 存储 未 开启 ,通过 “service tgt status” 命 令 查 看 虚拟 共享 存储 的 状态 


root@ HZ-CAS01-CVK02:— # service tgt status 
tgt start/running, process 28118 


如 果 输 出 如 上 述 状态 , 则 表示 已 经 开启 虚拟 共享 存储 。 
如 果 有 如 图 9-42 所 示 报 错 , 也 可 以 判定 3260 端口 被 占用 。 


添加 节点 
带 * 号 的 必 填 项 dh 
ERROR: 添 加 节点 失败 :ExecFault([1397183828 2014-04-11 10:37:08] ERROR: 192.168.2.101:iscsi port 3260 


already be used ) 


(集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
< TIPI 【192168.2101 密码 :” | - 
(集群 内 网 地 址 , 只 填写 1 个 ) (节点 root 用 户 密码 ) 
人 ip- m [= _ 


1924682102 


] m 


Ea 


图 9-42 3260 端口 被 占用 报错 


登录 CAS 管理 平台 删除 虚拟 共享 存储 ,然后 在 后 台 输 入 命令 “service tgt stop”, 停 止 tgt 
服务 ,并 删除 虚拟 共享 存储 配置 文件 targets. conf 和 tgt. conf。 


root@ HZ-CAS01-CVK02:— # service tgt stop 

tgt stop/ waiting 

root@ HZ-CAS01-CVK02:— # rm /etc/tgt/ targets. conf 
root@ HZ-CAS01-CVK02:— # rm /etc/init/tgt. conf 
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1. 开始 


云 计算 平台 虚拟 机 业务 系统 反应 慢 、 延 迟 高 涉及 方方面面 的 因素 ,首先 需要 进行 定位 , 确 
认 造 成 慢 的 可 能 原因 ,然后 根据 原因 针对 性 的 进行 调整 。 

D 确认 业务 系统 在 处 理 过 程 中 的 操作 系统 运行 状态 ,查看 虚拟 机 CPU 内存 、 磁 盘 IO 
和 网 络 1/0 的 运行 情况 ,看 是 否 有 哪些 指标 达到 系统 瓶颈 。 

© 确认 业务 系统 在 处 理 过 程 中 的 虚拟 化 平台 运行 状态 ,查看 主机 CPU、 内 存 、 磁 盘 1⁄O 
和 网 络 1/0 的 运行 情况 ,看 是 否 有 哪些 指标 达到 系统 瓶颈 。 

© 确认 业务 系统 在 处 理 过 程 中 的 软件 运行 状态 ,如 Web 中间 件 和 数据 库 的 连接 数 、 上 下 
文 切换 数 等 参数 是 否 正常 ,有 没有 异常 偏 高 。 

@ 服务 器 工作 在 高 性 能 模式 下 可 以 使 虚拟 机 的 系统 更 优 ,例如 R390/590 系列 在 iLO 下 
如 图 9-43 所 示 设 置 为 HP Static High Performance Mode。 


图 9-43 设置 R390/590 系列 服务 器 模式 


2. 流程 图 相关 操作 说 明 


(1) 物理 机 性 能 调 优 

磁盘 的 1/O 性 能 影响 虚拟 机 数据 的 读 写 性 能 ,物理 服务 器 可 以 使 用 下 面 的 方法 进行 调整 。 

O 使 用 服务 器 raid 缓存 卡 : 缓存 卡 可 以 有 效 提升 部 分 重复 性 读 写 动作 的 性 能 ,同时 注意 
缓存 卡 一 般 可 以 配置 读 写 缓存 比例 ,可 根据 实际 业务 系统 需要 调整 。 

© 使 用 合适 的 外 接 存储 : 从 1/O 吞吐 和 延迟 上 ,通常 单 业务 系统 性 能 比较 结果 为 FC 存 
fñ— P 存储 一 分 布 式 存储 。 分 布 式 存储 在 拥有 分 布 式 计算 系统 或 大 量 虚拟 机 业务 并 发 的 情 
况 下 可 以 有 和 较 优 异 表现 ,但 无 法 在 虚拟 机 单机 业务 系统 中 达到 传统 存储 的 级 别 。 

O 使 用 合适 的 外 接 存储 连接 方式 : 通常 情况 下 ,使 用 FC 或 IP 的 直通 方式 将 LUN 资源 
挂 接 到 虚拟 机 业务 系统 上 会 较 通过 虚拟 化 平台 文件 系统 转换 得 到 更 高 的 性 能 ; 但 是 不 能 实现 
CAS 系统 上 快照 .迁移 等 便利 的 虚拟 化 能 力 。 

@ 使 用 更 快速 的 磁盘 : 无 论 是 服务 器 的 本 地 磁盘 还 是 外 接 存储 的 磁盘 ,SSD 类 型 速度 远 
好 于 SAS 和 SATA。 
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网 卡 性 能 影响 虚拟 机 的 网 络 传输 速度 ,物理 服务 器 的 调 优 方法 如 下 。 

O 使 用 高 速 网 卡 : 万 兆 好 于 千 兆 , 光 口 稳定 性 好 于 电 口 。 

@ 选择 合适 的 链 路 捆绑 方案 : 服务 器 与 交换 机 采用 链 路 拥 绑 时 , 需 对 应 选择 动态 或 静态 
捆绑 方式 ,并 注意 链 路 连接 是 否 有 问题 。 

服务 器 内 存 调 优 手 段 如 下 。 

O 使 用 大 内 存 : 充足 的 物理 服务 器 内 容 预 留 可 以 有 效 保障 业务 系统 的 内 存 使 用 性 能 。 

© 使 用 带 寄 存 器 的 内 存 型 号 : PC3L 类 型 内 存 较 PC3 类 型 内 存 增加 了 寄存 器 ,速度 更 快 。 

服务 器 CPU 调 优 手 段 如 下 。 

O 取消 物理 服务 器 CPU 以 节能 模式 运行 : 部 分 新 型 号 的 物理 服务 器 CPU 会 默认 以 节 
能 模式 运行 ,导致 性 能 测试 中 短 时 间 内 无 法 达到 较 高 结果 ,可 以 在 BIOS 中 取消 相关 选项 达到 
提升 性 能 的 测试 效果 。 

@ 使 用 较 高 频率 的 CPU 型 号 服务 器 : 部 分 业务 系统 设计 只 能 使 用 有 限 的 CPU 核 数 ,此 
时 更 多 核 数 无 意义 ,但 主 频 3.0 较 2.0 就 会 有 很 显著 提升 。 

(2) 虚拟 机 磁盘 1/0 性 能 调 优 

虚拟 机 磁盘 性 能 调 优 包括 : 磁盘 类 型 .磁盘 格式 、 磁 盘 缓 存 等 。 

(3) Virtio 磁盘 

Virtio 是 虚拟 化 技术 针对 KVM 虚拟 化 平台 优化 的 驱动 类 型 ,1/O 性 能 较 IDE 格式 磁盘 
有 极 大 提升 。IDE 磁盘 变更 为 Virtio 磁盘 的 步骤 是 : 在 “修改 虚拟 机 ”中 将 原 IDE 磁盘 删除 ， 
然后 重新 添加 虚拟 机 磁盘 文件 ,磁盘 类 型 选择 Virtio 即 可 ,如 图 9-44 所 示 。 


TA BIRRA 一 win2008 m 


QuE 
lfa 设备 对 象 : Virtio 磁 县 vda 
Xaa RE Eks eO 
© Dex hdc aeaa: [drectsmc jv| 

Tritt. Im l 

存储 容 里 [2930 G es [v| 

ms Te rr 
爷 许 修改 虚拟 机 研 盘 的 格式 及 容 记 。 
加 控制 me 已 用 空间 : 7.0768 
ma va 
ano0 
(asma (REE pem pem 


9-44 “修改 虚拟 机 ”对 话 框 
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(4) 调整 磁盘 格式 为 高 速 

高 速 磁盘 较 智能 磁盘 在 频繁 1/0 读 写 操作 中 表现 更 优 ,因此 推荐 使 用 高 速 磁盘 模式 。 但 
高 速 模式 在 初始 时 就 会 占用 所 有 设 定 的 虚拟 磁盘 空间 大 小 ; 高 速 模式 只 能 在 虚拟 机 关机 情况 
下 修改 。 

(5) 调整 磁盘 缓存 模式 

磁盘 缓存 有 4 种 模式 。 

Writeback: 数据 先 经 过 qemu 的 缓存 ,再 经 过 宿主 机 缓存 ,最 后 写 往 宿主 机 磁盘 。 

None; 数据 先 经 过 qemu 进程 的 缓存 ,然后 写 往 宿主 机 磁盘 。 

Writethrough: 数据 先 经 过 宿主 机 缓存 ,然后 写 往 宿 主机 磁盘 。 

Directsync: 数据 直接 写 往 宿主 机 磁盘 。 

从 读 写 性 能 来 比较 : Writeback > None — Writethrough — Directsync, 但 实际 上 由 于 
Writeback 增加 了 缓存 级 别 ,导致 故障 时 丢 数 据 的 风险 增加 ,因此 不 适用 于 数据 库 等 较 敏 感 业 
务 系统 (大 量 缓存 数据 丢失 可 能 会 导致 数据 库 同步 异常 进而 出 现 崩溃 ) 。 

(6) 虚拟 机 网 络 性 能 调 优 

虚拟 机 网 络 性 能 调 优 包括 网 卡 类 型 .内核 加 速 等 。 


(7) Virtio 网 卡 
Virtio 是 虚拟 化 技术 针对 KVM 虚拟 化 平台 优化 的 驱动 类 型 ,1/O 性 能 较 其 他 类 型 网 卡 
有 极 大 提升 。 
修改 后 网 卡 信息 如 图 9-45 所 示 。 
TA 修改 虚拟 机 — win2008 站 
am | | 
=i 虚拟 交接 机 : wth al | 
Sasa memean: Da a 
Vreo 加 
D 内 核 加 
0cda:41:1e:02:aa B 
eé me RRRS: VEB v 
Tatwa 
eano | 
era Er | s-am) ”| 其 关闭 -| 


图 9-45 ”修改 后 网 卡 信息 


(8) 选择 内 核 加 速 
在 部 分 网 络 性 能 测试 场景 下 ,选择 内 核 加 速 可 以 有 效 优化 测试 结果 ,使 虚拟 网 卡 能 够 接近 
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万 兆 线 速 转发 能 力 。 在 关闭 虚拟 机 的 状态 下 色 先 “内核 加 速 ” 复 选 框 ,如 图 9-46 所 示 。 


T 修改 虚拟 机 — AD-01-Win2008 


(9) 虚拟 机 内 存 性 能 调 优 
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图 9-46 ”选择 内 核 加 速 


虚拟 机 内 存 性 能 调 优 包括 : 适当 调整 虚拟 机 内 存 大 小 .增加 虚拟 机 内 存 预 留 大 小 等 。 
(10) 增加 虚拟 机 内 存 大 小 

当 虚 拟 机 内 存 使 用 率 高 时 ,可 以 通过 增加 虚拟 机 内 存 大 小 调 优 。 

1) 增加 虚拟 机 内 存 预 留 大 小 

内 存 预 留 的 作用 是 强制 该 虚拟 机 在 启动 后 马上 分 配 所 预 留 的 内 存 , 该 内 存 只 给 这 台 虚 拟 


~ 


机 使 用 。 调 整 内 存 预 留 大 小 可 以 对 内 存 切 换 较为 频繁 的 业务 系统 有 提升 性 能 的 效果 ,尤其 是 
存在 多 虚拟 机 抢占 内 存 的 场景 下 ,如 图 9-47 所 示 。 


一 


2) 虚拟 机 CPU 性 能 调 优 
CPU 性 能 调 优 包括 : 适当 增加 CPU 核 数 .调整 CPU 工作 模式 .调整 CPU 体系 结构 、 


CPU 调度 优先 级 等 。 


(13) 增加 CPU 核 数 

当 虚 拟 机 业务 系统 具备 多 核 处 理 计 算 能 力 时 可 以 有 效 提 升 性 能 ,如 图 9-48 所 示 。 

(14) 调整 CPU 工作 模式 

虚拟 机 的 CPU 工作 模式 有 3 种 。 

@ Custom: qemu 虚拟 出 的 CPU。CAS 默认 使 用 该 模式 ,CPU 默认 为 qemu64 类 型 , 兼 


容 性 好 ,但 因 支 持 的 指令 少 ,导致 某 些 性 能 低 ,如 AES 加 密 等 。 


@ Host Model: 启动 虚拟 机 前 ,从 qemu 能 够 模拟 出 的 CPU 中 找 一 个 和 主机 CPU Rik 


近 的 型 号 ,迁移 兼容 性 较 差 .amd 和 intel 之 间 不 能 迁移 。 
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图 9-47 虚拟 机 内 存 预 留 大 小 调整 


图 9-48 增加 CPU 核 数 


E> 云 计算 产品 1255 
© Host Passthrough: 直接 透 传 主机 CPU 型 号 和 大 部 分 功能 给 虚 机 ,迁移 兼容 性 差 。 
CPU 特性 完全 相同 的 主机 间 才 可 以 迁移 ,同一 厂家 不 同 代 的 CPU 之 间 也 不 能 迁移 。 
性 能 方面 Host Passthrough > Host Model — Custom, 但 兼容 性 Custom 最 好 , Host 


Passthrough 最 差 。 具 体 场景 需要 视 物 理 服 务 器 使 用 的 物理 CPU 型 号 支持 的 加 速 能 力 而 定 。 
CUP 工作 模式 选择 Custom, 如 图 9-49 所 示 。 
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图 9-49 选择 Custom 工作 模式 
(15) 调整 CPU 体系 结构 


某 些 虚拟 机 业务 性 能 方面 在 单 核 或 虚拟 机 操作 系统 为 1686 格式 时 较 好 ,如 图 9-50 所 示 ， 
比如 : 某 局 点 的 Webloigc 9. 2 版 本 中 使 用 的 java 版 本 是 jdk150_04 。 
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图 9-50 调整 CPU 体系 结构 
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(16) 调整 CPU 调度 优先 级 


当 存 在 较 多 虚拟 机 同时 抢占 CPU 时 ,可 以 有 效 提升 高 优先 级 的 处 理 。 重 要 虚拟 机 业务 
调整 高 优先 级 ,如 图 9-51 所 示 。 
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图 9-51 调整 CPU 调度 优先 级 


9.1.5 DRX 业务 扩展 故障 排查 “ 圭 
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9.1.5 DRX 业务 扩展 故障 排查 步骤 详解 


1. 开始 


DRX 动态 资源 扩展 业务 在 扩展 业务 虚拟 机 时 ,有 多 种 原因 导致 业务 虚拟 机 无 法 正常 扩展 
或 者 扩展 出 的 虚拟 机 不 可 用 。 问 题 大 致 可 以 分 为 以 下 3 大 类 。 


O CAS 配置 存在 错误 。 
@ 物理 主机 资源 不 足 。 
@ 网 络 配置 存在 错误 。 


根据 故障 的 具体 现象 ,可 根据 如 下 的 思路 进行 定位 。 
O EF CAS 平台 中 是 否 存在 报错 提示 信息 ,根据 报错 信息 进行 排查 。 


@ 查看 CAS 动态 资源 扩展 配置 。 
@ 检查 交换 机 、LB 等 设备 上 网 络 配置 。 


2. 流程 图 相关 操作 说 明 
(1) 检查 CAS 平台 中 是 否 存在 报错 


当 出 现 动态 扩展 业务 虚拟 机 异常 ,排查 时 建议 先 登 录 CAS 平台 在 操作 日 志 中 查看 是 否 存 
在 报错 信息 ,以 便利 用 报错 信息 更 快 判定 具体 的 问题 原因 。 

如 图 9-52 所 示 ,查看 CAS* 操 作 日 志 ”,DRX 问题 的 报错 信息 中 :“ 操 作 员 姓 名 ”一 栏 中 应 
该 为 system 代表 此 操作 是 系统 根据 监控 策略 自动 触发 的 。“ 操 作 描述 ”中 会 对 具体 的 扩展 、 启 


动 虚拟 机 动作 进行 描述 。 


HC CAS 去 生理 各 = 
€ > CÇ Q 192.168.21.6:8080/cas/ 


20501-28 102011 
20501-29102735 
20501-23 1016:55 
20501-27 17:3026 
2m501-27 170719 
205-01-27 17:0027 
2015-01-27 17:0023 
2m501-27 165928 
20501-27 185919 
2015-01-27 1659:08 
20501-27 165651 
20501-27 105640 
20501-27 1560 
20501-27 1655:56 
01501-27 185538 


9-52 CAS “操作 日 志 ” 


(2) 虚拟 机 部 署 失败 


如 果 在 CAS 平台 的 操作 日 志 中 查看 到 有 报错 信息 为 虚拟 机 部 署 失败 ,主要 有 以 下 几 种 


原因 。 


1821682104 
1921683104 
1921683104 
1921683250 
1821683250 
1921603250 
1921683250 
1921683250 
1921683250 
10216.3250 
1921683250 


20501-27 165504 je v 
a a a E 


1921683250 
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O 存在 同名 虚拟 机 或 者 目的 存储 池 已 有 同名 虚拟 机 文件 ,报错 信息 为 “虚拟 机 文件 已 
存在 ”。 

© 存储 空间 不 足 , 虚 拟 机 镜像 文件 无 法 正常 部 署 ,报错 “虚拟 机 部 署 失败 ”。 

© 虚拟 机 模板 存在 问题 ,虚拟 机 无 法 正常 部 署 ,报错 “虚拟 机 部 署 失 败 ”。 

针对 相应 报错 对 症 下 药 , 药 方 见 下 。 

报错 信息 “虚拟 机 文件 已 存在 ”: 先 在 CVK 主机 上 的 “存储 ”选项 卡 查看 是 否 确 实 已 经 存 
在 同名 虚拟 机 ,并 在 目的 存储 池 中 查看 是 否 有 相应 名 称 的 虚拟 机 文件 ,如 图 9-53 所 示 。 如 果 
有 同名 虚拟 机 及 相应 文件 请 协调 删除 或 更 改动 态 资源 扩展 配置 中 的 虚拟 机 名 称 。 
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图 9-53 报错 信息 “虚拟 机 文件 已 存在 ” 


报错 "虚拟 机 部 署 失 败 ”: 首先 查看 目的 共享 存储 池 的 可 用 空间 是 否 有 足够 存储 资源 供 扩 
展 虚 拟 机 ,如 图 9-53 所 示 。 如 果 可 用 的 存储 资源 足够 , 则 排查 DRX 策略 中 对 应 的 虚拟 机 模板 
是 否 存在 ,如 图 9-54 所 示 。 
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图 9-54 ”虚拟 机 模板 排查 
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如 果 模 板 存在 且 物 理 机 可 用 存储 资源 充足 .尝试 用 该 模板 手工 部 署 一 台 虚 拟 机 ,并 观察 其 
运行 情况 以 确认 虚拟 机 模板 是 否 正常 。 如 果 手 工 部 署 虚拟 机 也 失败 , 则 虚拟 机 模板 本 身 很 可 
能 存在 问题 。 

如 果 手 工 部 署 的 虚拟 机 能 够 正常 启动 并 提供 服务 , 则 模板 本 身 也 没有 问题 。 那 么 需要 查 
看 下 模板 部 署 出 的 虚拟 机 是 否 挂 载 有 ISO 镜像 .PCI 设备 .USB 设备 等 。 如 果 存 在 单 击 “修改 
虚拟 机 ”命令 ,并 在 界面 中 使 用 “删除 设备 ”删除 掉 这 些 设备 ,并 在 IDE 光驱 里 将 相应 挂 载 的 
ISO 文件 取消 掉 , 重 新 制作 虚 机 模板 ,如 图 9-55 所 示 。 
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9-55 “修改 虚拟 机 ”对 话 框 


说 明 : 虚拟 机 模板 中 IP 地 址 一 项 必须 设置 为 自动 获取 ,对 于 Linux 系统 的 虚拟 机 在 制作 
模板 前 还 需 注 意 将 网 卡 信息 文件 进行 删除 ,如 ubuntu 系统 中 的 网 卡 信息 文件 为 存储 在 /etc/ 
udev/rules. d 目录 下 的 70-presistent-net. rule 文件 。 

(3) 虚拟 机 启动 失败 

CAS 平台 上 的 报错 提示 包含 “虚拟 机 启动 失败 ”内容 ,请 注意 具体 报错 信息 提示 。 

出 现 如 图 9-56 所 示 的 系统 调用 失败 可 查看 是 否 有 相应 的 USB 设备 .ISO 光盘 等 。 

需要 确保 物理 宿主 机 性 能 足够 ,如 CPU、 内 存 资源 足够 才 可 确保 虚拟 机 扩展 处 能 够 正常 


Ù 
g 


如 果 以 上 步骤 排查 完毕 后 ,仍然 无 法 判定 故障 原因 ,请 联系 热线 400-810-0504 进行 处 理 。 
(4) 检查 CAS 平台 配置 

CAS 平台 操作 日 志 没有 发 现 报错 ,下 一 步 就 是 确认 动态 资源 扩展 业务 配置 正确 。 

D 确认 动态 资源 扩展 业务 已 经 正常 生效 。 

在 相应 “动态 资源 扩展 策略 ”对 话 框 ,修改 相应 动态 资源 策略 ,确认 “立即 生效 ”已 经 勾 选 ， 
确保 动态 资源 扩展 业务 已 经 生效 ,如 图 9-57 所 示 。 


RRR amie SRG aae aa aar RÉA RNA 
让 机 windows 。 windows2008 E EEA windows2006 4k ME: FARRAARGNER Y admin 1921633104 20150204143228 2015-02-04 44324 


图 9-56 系统 调用 失败 


开局 动态 资源 扩展 功能 ， 能 够 自动 管理 站 务 系 统 教 重 的 分 配 ， 为 平视 北 务 负 堪 各行 资源 分 本 第 跑 
击 自 动 进行 虚拟 机 的 扩展 或 回收 。 


图 9-57 确认 动态 资源 扩展 业务 已 经 正常 生效 


确认 业务 虚拟 机 组 中 已 包含 所 有 承载 业务 的 虚拟 机 ,如 图 9-58 所 示 。 如 果 虚 拟 机 组 中 未 
包括 任何 虚拟 机 , 则 DRX 无 法 正常 工作 。 

© 确认 CAS 上 配置 地 址 段 与 交换 机 上 DHCP 池 没 有 冲突 。 

查看 交换 机 上 是 否 有 DHCP 配置 ,如 果 已 经 有 配置 ,CAS 上 请 勿 配置 相应 地 址 段 。 如 果 
之 前 在 交换 机 上 未 有 相应 配置 ,请 检查 设置 的 网 段 地 址 是 否 准 确 。 

@ 检查 资源 扩展 策略 的 设置 。 

检查 资源 扩展 策略 中 的 监控 参数 的 设置 ,确认 现 有 业务 虚拟 机 的 性 能 监控 界面 显示 的 实 
时 性 能 指标 是 否 已 经 超过 监控 策略 设置 的 阔 值 。 如 果 阔 值 设置 过 高 , 则 现 有 业务 虚 机 很 难 扩 
展 ,请 按照 实际 业务 情况 调整 ,如 图 9-59 所 示 。 

(5) 查看 业务 网 络 连通 性 

在 之 前 步骤 均 未 发 现 异常 的 情况 下 ,请 排查 网 络 。 
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人 虚拟 机 模板 ， 并 指定 系统 自动 @ 慎 虚 拟 机 的 名 称 前 绍 和 起 始 编号 。 若 选择 
“saksasqa 只 能 从 业务 虚拟 机 组 中 选择 只 挂 载 了 共享 文件 系统 的 虚拟 机 作为 虚拟 机 克隆 对 


192.168.1.1 


192.168.1.10 


255.255.255.0 


192.168.1.254 


图 9-58 “修改 动态 资源 扩展 业务 ”对 话 框 
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CE] 
图 9-59 ”虚拟 机 性 能 监控 界面 


O 外 部 访问 地 址 到 LB 上 虚 IP 地 址 之 间 的 连通 性 。 

@ LB 到 各 个 业务 虚拟 机 之 间 的 IP 连通 性 。 

@ 检查 其 他 网 络 连通 所 需 的 必须 配置 ,如 NA T 配置 等 是 否 正 常 。 

(6) 检查 LB 配 置 

Web 方式 登录 LB 的 配置 界面 确认 其 配置 正确 ,以 免 因 为 服务 器 负载 分 担 设置 错误 导致 
扩展 出 的 虚拟 机 无 法 正常 承载 业务 。 

OD 查看 LB 上 实 服务 的 配置 情况 ,如 图 9-60 所 示 。 
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Copyright © 2004-2012 杭州 学 三 通信 技术 有 限 公司 版 权 所 有 ， 保 禄 一 切 权利 
9-60 实 服务 配置 情况 


(a) 实 服务 地 址 必须 包含 所 有 业务 虚拟 机 的 地 址 。 

(b) 确保 所 有 实 服务 均 正 确 加 入 业务 实 服务 组 。 如 果 配 置 正 常生 效 ,已 经 启动 的 业务 虚 
拟 机 的 状态 应 为 绿色 正常 工作 。 

@ 检查 实 服务 组 的 配置 。 

(a) 确保 实 服务 使 用 了 合理 的 算法 将 业务 平均 分 发 到 各 个 业务 虚拟 机 上 。 

(b) 根据 业务 需求 调整 健康 性 检测 的 检测 方法 ,健康 性 检测 通过 条 件 ,如 图 9-61 所 示 。 
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图 9-61 调整 健康 性 检测 


O 检查 虚 服 务 的 配置 ,如 图 9-62 所 示 。 

(a) 注意 虚 服 务 地 址 是 否 设 置 正确 ,并 根据 LB 在 网 络 环境 中 的 组 网 情况 判断 是 否 需要 使 
能 SNAT 功能 。 

(b) 特别 注意 确保 虚 服 务 本 身 已 经 使 能 ,如 没有 使 能 则 服务 器 负载 分 发 功能 不 会 正常 
工作 。 
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9-62 ” 虚 服务 的 配置 


(7) 检查 DHCP 配置 

查看 为 DRX 业务 虚拟 机 提供 DHCP 服务 的 地 址 池 , 确 认 其 中 包含 所 有 业务 虚拟 机 的 地 
址 ,并 确认 DHCP 服务 正常 。 

说 明 : 从 CAS E0201 版 本 开始 ,DRX 业务 可 以 在 CAS 的 Web 界面 进行 配置 扩展 虚拟 机 
IP 地 址 段 ,网 络 设备 上 的 DHCP 已 经 非 解决 方案 里 的 必 备 选项 ,因此 在 排查 时 请 先 确认 方案 
中 规划 了 使 用 网 络 设备 给 虚拟 机 分 配 地 址 。 如 不 涉及 ,可 略 过 此 步骤 。 

如 果 排 查 过 均 未 发 现 异 常 ,DRX 本 身 配置 应 无 问题 。 由 于 DRX 业务 正常 承载 业务 还 需 
业务 系统 正常 支持 ,建议 协调 业务 系统 厂商 进行 排查 。 如 对 动态 资源 扩展 方案 还 有 疑惑 ,请 联 
系 热 线 400-810-0504 进一步 分 析 。 


9.1.6 虚拟 机 手动 迁移 失败 
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Ee 9.1.6 虚拟 机 手动 迁移 失败 
09 云 计算 产品 >>> AE 步 又 详解 


1. 开始 

虚拟 机 手动 在 线 迁移 应 用 场景 发 生 在 管理 员 日 常 运 维 或 巡 检 时 ,手工 对 虚拟 机 的 运行 载 
体 ( 包 括 计 算 资源 和 存储 资源 ) 进 行 变更 ,以 达到 系统 运行 最 优化 的 目的 。 比 如 需要 对 主机 进 
行 硬件 升级 时 ,可 以 利用 手工 迁移 方式 ,将 原本 运行 在 该 主机 上 的 虚拟 机 前 部 迁移 到 其 他 正常 
工作 的 主机 上 ,然后 再 对 该 主机 进行 关机 断 电 处 理 , 完 成 之 后 ,再 将 虚拟 机 手工 迁移 回来 。 在 
手工 迁移 过 程 中 ,触发 虚拟 机 迁移 的 动作 是 人 为 控制 的 ,迁移 存储 花费 的 时 间 又 与 磁盘 实际 使 
用 时 间 、 存 储 迁 移 网 络 带宽 等 有 密切 关系 。 

虚拟 机 迁移 失败 ,在 CAS 平 台 的 任务 台 会 显示 相应 报错 。 根 据 迁 移 的 不 同方 式 和 报错 ， 
可 初步 判断 以 下 4 类 故障 类 型 。 

O 虚拟 机 磁盘 格式 非 dcow2 文件 格式 不 支持 在 线 迁移 存储 。 

© 虚拟 机 挂 载 虚拟 光驱 .USB 设备 .软驱 .串口 设备 等 。 

@ 虚拟 机 磁盘 文件 存放 在 本 地 目录 。 

@ 虚拟 机 迁移 目的 主机 没有 挂 载 相同 的 存储 池 或 者 虚拟 交换 机 。 

因此 虚拟 机 在 线 迁 移 失败 的 排查 思路 。 

D 虚拟 机 磁盘 格式 是 否 为 qcow2 格式 。 

© 虚拟 机 有 没有 挂 载 虚 拟 光 驱 、USB 等 。 

© 排查 虚拟 机 磁盘 文件 是 否 都 在 共享 存储 上 。 

@ 确认 迁移 的 目的 主机 是 否 挂 载 了 相同 的 存储 池 ,配置 相同 的 虚拟 交换 机 。 

2. 流程 图 相关 操作 说 明 

(1) “更改 数 据 存储 ”功能 不 可 用 

虚拟 机 在 线 迁移 数据 存储 ,发 现 “ 更 改 数据 存储 ”功能 被 置 灰 不 可 用 ,如 图 9-63 所 示 。 出 
现 该 问题 原因 是 虚拟 机 磁盘 格式 非 gcow2 格式 ,如 图 9-64 所 示 CAS 不 支持 非 gcow2 格式 磁 
盘 的 虚拟 机 在 线 迁移 数据 存储 ,需要 更 改 迁 移 方式 。 

| 迁移 虚报 机 - win2008-Imr-2015 x 


© 请 寺 择 这 移 类 型 > 


€ EREN 
将 虚拟 机 迁移 到 另 一 各 主机 。 
C 更改 数据 存储 
将 虚拟 机 的 存 人 迁移 到 另 一 数据 存储。 
C 更 改 主机 和 教 据 存 侍 
将 虚拟 机 迁移 到 另 一 各 主机 ， 同 8 将 其 存 包 迁 移 到 另 一 数据 存储 。 


[e ||@ T—> |@ ma | 


图 9-63 虚拟 机 在 线 “ 更 改 数据 存储 ”功能 不 可 用 
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" = pm 


文件 大 小 “已 用 空间 | 类 型 
win2008-Imr2015 raw 48.830B 7.056B [x E fi 


图 9-64 虚拟 机 磁盘 类 型 为 raw, 3E qcow2 


说 明 : CAS 平 台 的 虚拟 机 支持 使 用 qcow2 和 raw 格式 磁盘 ,分 别 对 应 创建 磁盘 文件 时 候 
的 智能 格式 和 高 速 格式 ,如 图 9-65 所 示 。 部 分 特性 和 功能 只 能 在 磁盘 类 型 为 qcow2 的 虚拟 机 
上 才能 使 用 ,比如 虚拟 机 快照 功能 和 如 图 9-63 所 示 的 在 线 “ 更 改 数据 存储 ”。 


图 9-65 虚拟 机 新 增 磁盘 可 设置 磁盘 类 型 


(2) 更 改 迁移 方式 

JE gcow2 格式 磁盘 的 虚拟 机 支持 使 用 以 下 方式 迁移 。 

O 虚拟 机 在 线 或 离线 “更 改 主机 ”。 

© 虚拟 机 离线 “更 改 数据 存储 ”。 

@ 虚拟 机 在 线 或 离线 “更 改 主机 和 数据 存储 ”。 

所 以 如 果 需 求 仅 为 迁移 虚拟 机 磁盘 所 在 存储 池 , 则 可 采用 虚拟 机 离线 方式 迁移 ; 如 果 需 
求 为 同时 更 改 虚拟 机 所 在 主机 和 磁盘 所 在 存储 池 , 则 虚拟 机 可 在 线 选择 “更 改 主机 和 数据 存 
储 ” 方 式 进行 迁移 。 

(3) 虚拟 机 使 用 本 地 光驱 /已 挂 载 USB 设备 /软驱 /串口 设备 等 

虚拟 机 迁移 失败 ,在 CAS 平台 的 任务 台 会 显示 相应 报错 。 报 错 为 虚拟 机 使 用 本 地 光驱 、 
已 经 挂 载 了 USB 设备 .软驱 或 者 串口 设备 等 不 允许 迁移 ,如 图 9-66、 图 9-67 所 示 , 即 表示 虚拟 
机 在 迁移 前 所 拥有 的 这 些 “ 硬 件 ” 在 目的 主机 无 法 自动 提供 给 该 虚拟 机 , 故 虚拟 机 在 迁移 前 将 
该 类 型 “硬件 ” 移 除 。 


9-66 ”虚拟 机 使 用 本 地 光驱 时 不 允许 迁移 9-67 ”虚拟 机 挂 载 USB 设备 时 不 允许 迁移 
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说 明 : 如 果 有 USB 设备 跨 物 理 主机 仍 可 以 被 虚拟 机 使 用 的 需求 ,可 以 使 用 USB over 
Network 等 第 三 方 技术 。 

(4) 断 开 虚 拟 机 “本 地 硬件 ”连接 

断 开 虚 拟 机 “本 地 硬件 ”连接 需要 在 修改 虚拟 机 界面 操作 。 

如 删除 USB 设备 具体 操作 为 : 进入 “修改 虚拟 机 ”对 话 框 ,选择 “USB 设备 ”命令 ,然后 单 
击 “ 删 除 硬件 ”按钮 ,确认 即 可 ,如 图 9-68 所 示 。 


TA 夏 改 虚 拟 机 一 win7 
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| 8 EBI ipd 666D5E m 
fai 
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n E vga 
KA USB 设 备 0x1666/0x0951/2 
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C | 
Ea | 其 出 除 硬件 | 4 应 用 |x 关闭 | 


图 9-68 ”虚拟 机 删除 挂 载 的 USB 设备 


断 开 IDE 光驱 操作 类 似 : 进入 “修改 虚拟 机 ”对 话 框 ,选择 “IDE 光驱 ”命令 ,然后 单 击 “ 断 
开 连 接 ” 按 钮 ,确认 即 可 ,如 图 9-69 所 示 。 


Qez 

.. amie: IDEJE hdd 

Xass 源 路 径 : fyvmsiiso: -tools-setup.is... 
B vsa va | tot | 


E FOCiü fda 
© DEX hod 
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图 9-69 虚拟 机 断 开本 地 光驱 连接 


(5) 虚拟 机 使 用 本 地 存储 或 基础 镜像 文件 
虚拟 机 的 磁盘 文件 必须 全 部 存储 在 共享 文件 系统 上 才 允 许 在 线 更 改 虚拟 机 所 在 主机 等 ， 
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一 般 出 现 该 类 报错 原因 如 下 。 
O 虚拟 机 磁盘 存储 在 本 地 存储 目录 ,如 图 9-70 所 示 。 
© 虚拟 机 使 用 了 多 个 磁盘 , 且 部 分 或 全 部 为 本 地 磁盘 。 
@ 虚拟 机 的 基础 镜像 文件 部 分 或 全 部 存储 在 本 地 存储 目录 ,如 图 9-71 所 示 。 


À 


v WE | | 


图 9-70 虚拟 机 使 用 本 地 存储 时 不 允许 在 图 9-71 虚拟 机 基础 镜像 文件 使 用 本 地 存储 时 
线 迁 移 不 允许 以 更 改 主机 方式 进行 迁移 


(6) 更 改 迁 移 方式 

查看 虚拟 机 磁盘 所 在 目录 ,如 果 出 现 以 下 3 种 类 型 , 则 需要 虚拟 机 采用 “更 改 主机 和 数据 
存储 ?选项 迁移 或 者 采用 离线 方式 迁移 。 

D 虚拟 机 的 磁盘 存储 在 本 地 目录 。 

© 检查 虚拟 机 的 基础 镜像 文件 base0 或 者 basel 的 存储 路 径 , 其 中 有 一 个 或 者 两 个 在 
本 地 。 

© 若 虚 拟 机 使 用 了 多 个 磁盘 , 且 其 中 有 一 个 或 多 个 为 本 地 磁盘 。 

例如 : 如 图 9-72 所 示 ,查看 该 虚拟 机 存储 信息 ,其 中 一 个 磁盘 存储 在 /vms/images 的 本 地 
磁盘 下 , 即 需 要 采用 “更 改 主机 和 存储 ”选项 迁移 或 者 离线 迁移 。 


| 设备。 BSAN mhemm 
磁盘 hda ide Amsisharefileiwin2008-I... 48.8368 ”文件 
磁盘 hdb ide Amsiimagesjwin2008-L.， 1000.00MB 文件 


图 9-72 虚拟 机 部 分 磁盘 使 用 本 地 存储 


(7) 目的 主机 不 存在 相应 虚拟 交换 机 或 存储 池 等 。 

虚拟 机 迁移 过 程 中 会 检测 目的 主机 是 否 存在 虚拟 机 需要 的 相应 硬件 资源 。 

D 虚拟 机 使 用 "更 改 主机 ?或 者 “更 改 主机 和 数据 存储 ?所 在 主机 时 ,虚拟 机 迁移 过 程 中 不 
会 更 改 虚拟 机 网 卡 所 在 的 虚拟 交换 机 ,如 果 目 的 主机 没有 相应 的 虚拟 交换 机 , 则 不 允许 迁移 ， 
如 图 9-73 所 示 。 

@ 虚拟 机 使 用 “更 改 主 机 ”方式 迁移 时 ,虚拟 机 迁移 过 程 中 不 会 改变 磁盘 文件 存储 路 径 ， 
如 果 目 的 主机 没有 相应 的 共享 存储 池 , 则 不 允许 迁移 ,如 图 9-74 所 示 。 


图 9-73 不 允许 进行 迁移 图 9-74 不 存在 相应 的 共享 存储 池 
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(8) 目的 主机 增加 相应 配置 或 修改 迁移 方式 

目的 主机 不 存在 虚拟 机 所 需 的 硬件 资源 ,可 以 通过 在 目的 主机 新 建 相应 虚拟 交换 机 或 者 
挂 载 对 应 的 共享 存储 池 等 来 解决 。 如 果 出 现 目的 主机 无 法 增加 相应 共享 存储 池 ,也 可 以 选择 
“更 改 主 机 和 数据 存储 ?或 者 虚拟 机 离线 方式 迁移 。 

以 上 方法 如 果 仍 无 法 解决 问题 ,请 联系 H3C 400-810-0504 处 理 。 


9.2.1 FlexServer R390 
09 云 计算 产品 9.2 机 架 服 务 器 服务 器 指示 灯 告 
警 故障 排查 


RexServer Ragp 服 务 器 Jë +. x] 1; 8 šk Fš +E $£ 


及 


PcI 转 持 攻 指示 
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m E 9.2.1 FlexServer R390 
09 云 计算 产品 9.2 机 架 服 务 器 服务 器 指示 灯 告 步骤 详解 
警 故障 排查 


1. 开始 

FlexServer R390 服务 器 前 面板 有 诸多 LED 指示 灯 , 当 出 现 服务 器 开机 故障 时 ,可 以 通过 
LED 指示 灯 显 示 信 息 判断 服 务 器 开机 故障 的 原因 。 根 据 服务 器 指示 灯 的 不 同 状态 以 及 不 同 
组 合 , 可 初步 判断 以 下 6 种 服务 器 故障 。 

O 服务 器 电源 故障 。 

@ 服务 器 处 理 器 故障 /缺失 /不 兼容 。 

@ 服务 器 内 存 故障 。 

@ 服务 器 风扇 故障 或 已 取 下 。 

@ 服务 器 温度 过 高 。 

© PCI 转 接 卡 笼 未 正确 就 位 。 

因此 服务 器 指示 灯 的 排查 思路 。 

O 若 服务 器 接 通电 源 后 LED 指示 灯 均 不 亮 , 排 查 电 源 模块 是 否 插 牢 ,替换 电源 线 排除 电 
源 线 故 障 。 

O 检查 系统 电源 LED 指示 灯 。 

@ 检查 系统 运行 状况 指示 灯 。 

@ 检查 Source Insight(SID) LEDs 指示 灯 。 

2. 流程 图 相关 操作 说 明 

(1) 系统 电源 指示 灯 是 否 点 亮 

如 图 9-75 所 示 标 号 1 为 开机 /待机 按钮 和 标号 2 系统 电源 LED 指示 灯 ,查看 指示 灯 是 否 
点 亮 。 

(2) 检查 电源 线 和 电源 模块 

检查 电源 线 主 要 包括 以 下 内 容 。 

O 电源 线 是 否 故障 ,寻找 其 他 电源 线 进行 替换 验证 ， 
确认 电源 线 正 常 。 

© 电源 线 是 否 松动 。 

@ 重新 安装 电源 模块 : 电源 模块 安装 没有 正确 就 位 ， 
会 导致 服务 器 无 法 正常 开机 。 因 此 先 断 开 电源 线 , 然 后 拔 
出 并 重新 安装 电源 模块 。 

如 果 以 上 步骤 执行 完毕 后 系统 电源 指示 灯亮 , 则 继续 
判断 指示 灯 颜 色 ; 若 电源 指示 灯 仍 不 亮 ,可 联系 H3C 400- 
810-0504 解决 。 图 9-75 系统 电源 指示 灯 

(3) 系统 电源 指示 灯 是 否 为 琥珀 色 

系统 电源 若 点 亮 且 为 琥珀 色 ,说 明 服务 器 处 于 待机 状态 ,此 时 服务 器 可 能 没有 开机 ,也 可 
能 由 于 电源 问题 ,处 理 器 故障 或 服务 器 硬件 温度 过 高 造成 服务 器 未 启动 。 

(4) 按 下 服务 器 电源 后 电源 指示 灯 是 否 变 绿 

电源 指示 灯 为 琥珀 色 可 能 是 服务 器 处 于 待机 状态 ,对 系统 电源 指示 灯 为 琥珀 色 的 服务 器 
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按 下 电源 ,服务 器 若 正常 启动 则 系统 电源 指示 灯会 变 绿 。 当 然 , 也 可 能 服务 器 由 于 故障 继续 保 

持 琥珀 色 。 
(5) 检查 SID 中 PROCS OVER TEMP 与 PS1/PS2 指示 灯 状 态 
图 9-76 所 示 为 SID 指示 灯 。 
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图 9-76 SID 指示 灯 


运行 状况 指示 灯 点 亮 , 则 一 定 为 红色 ,并且 可 能 存在 以 下 3 种 故障 。 

Q@ PROCS 指示 灯 若 为 琥珀 色 , 则 可 能 存在 以 下 一 种 或 多 种 情况 ,可 联系 H3C 400-810 
0504 解决 。 

(a) RW X 中 的 处 理 器 出 现 故障 。 

(b) 处 理 器 X 未 安装 在 插 槽 中 。 

(c) 不 支持 处 理 器 X。 

(d) POST 期 间 ROM 检测 到 处 理 器 有 故障 。 

© OVER TEMP 指示 灯 若 为 琥珀 色 ,服务 器 已 检测 到 硬件 临界 温度 ,请 保证 服务 器 环境 

© PS1/PS2 指示 灯 若 为 琥珀 色 ,可 能 存在 以 下 一 种 或 多 种 情况 。 

(a) 只 安装 了 一 个 电源 ,并且 该 电源 处 于 待机 模式 

(b) 电源 故障 ,可 联系 H3C 400-810-0504 解决 。 

(c) 主板 故障 ,可 联系 H3C 400-810-0504 解决 。 

(6) 查看 运行 状态 指示 灯 是 否 为 绿色 

服务 器 电源 指示 灯 为 绿色 的 情况 下 ,查看 运行 状态 指示 灯 是 否 为 绿色 。 

(7) 检查 服务 器 是 否 运行 正常 

若 服 务 器 的 运行 状况 指示 灯 为 绿 , 说 明 服务 器 未 发 现 故 障 , 此 时 测试 服务 器 业务 是 否 运行 
正常 ,如 有 异常 可 联系 H3C 400-810-0504 解决 。 

(8) 查看 运行 状态 指示 灯 是 否 为 琥珀 色 

如 果 运 行 状况 指示 灯 不 是 绿色 ,要 判断 运行 状况 指示 灯 是 红色 还 是 琥珀 色 来 判断 
故障 。 


1274 根 叔 的 云图 一 一 网 络 故障 大 排查 


(9) 检查 SID 中 PROCS DIMM OVER TEMP、FANS 与 PS1/PS2 指示 灯 状 态 
运行 状况 指示 灯 如 果 为 琥珀 色 , 存 在 以 下 5 种 故障 可 能 ,可 联系 H3C 400-810-0504 解决 。 
O PROCS 指示 灯 若 为 琥珀 色 ,表示 插 槽 X 中 的 处 理 器 处 于 故障 前 的 状态 。 

© DIMM 指示 灯 若 为 琥珀 色 ,表示 插 槽 X 中 的 DIMM 处 于 故障 前 的 状态 。 

@ OVER TEMP 指示 灯 若 为 琥珀 色 ,表示 运行 状况 驱动 程序 已 检测 到 警戒 温度 。 

@ FANS 指示 灯 若 为 琥珀 色 ,表示 一 个 风扇 出 现 故障 或 已 取 下 。 

© PS1/PS2 指示 灯 若 为 琥珀 色 ,可 能 存在 以 下 一 种 或 多 种 情况 。 

(a) 安装 了 宛 余 电 源 ,并且 只 有 一 个 电源 正常 工作 。 

(b) 交流 电源 线 未 插入 元 余 电源 上 。 

(c) 宛 余 电源 故障 。 

(d) 在 POST 期 间 电源 不 匹配 ,或 通过 热 插 拔 方式 添加 的 电源 不 匹配 。 

(10) 检查 SID 中 DIMM 与 FANS、PS1/PS2 及 PCI 转 接 卡 指示 灯 状 态 

运行 状况 指示 灯 如 果 为 红色 ,存在 以 下 3 种 故障 可 能 ,可 联系 H3C 400-810-0504 解决 。 
O DIMM 指示 灯 若 为 琥珀 色 ,表示 一 个 或 多 个 DIMM 出 现 故 障 。 

© FANS 指示 灯 若 为 琥珀 色 ,表示 两 个 或 多 个 风扇 出 现 故 障 或 已 取 下 。 

@ PCI 扩展 插 卡 上 的 PCI 转 接 卡 指示 灯 若 为 琥珀 色 ,表示 PCI 转 接 卡 笼 未 正确 就 位 。 


二 zE 9.2.2 刀片 服务 器 开机 W 


AAA Ë Tr Y. 8k HEA 


> 表示 上 一 步 结 时 正 种 


---y 志 示 上 一步 结 果 出 现 问题 


该 刀片 电源 
指示 灯 为 璃 珀 色 


检查 刀片 
o AKB 


EITA 
Zik 
FIE 


KAA 
TELE 


拨打 热线 
400-310-0504 
ZEI 
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9.2 机 架 服务 器 5 z 步骤 详解 
1. 开始 


FlexServer B390/B590 刀片 服务 器 出 现 开机 故障 时 ,可 以 通过 服务 器 前 面板 的 LED 指示 
灯 、 机 框 上 的 管理 显示 屏 和 OA 管理 模块 显示 信息 判断 服务 器 无 法 正常 开机 的 原因 。 

FlexServer 前 面板 主要 包括 健康 指示 灯 四 、 系 统 电源 指示 灯 @、UID 指示 灯 @ 和 
FlexibleLOM LED 指示 灯 @@。 如 图 9-77、 图 9-78 所 示 分 别 是 半 高 和 全 高 刀片 服务 器 。 


图 9-78 全 高 服务 器 前 面板 指示 灯 


机 框 管理 显示 屏 位 于 机 箱 前 面 的 中 下 方 ,可 以 查看 整个 机 箱 的 健康 和 操作 状态 等 信息 ,如 
图 9-79 所 示 。 


图 9-79 机 框 管理 显示 屏 


OA(Onboard Administrator) 是 机 箱 的 管理 单元 ,如 图 9-80 所 示 , 它 可 以 提供 基于 GUI 
的 管理 界面 ,用 户 可 以 通过 浏览 器 软件 方便 的 管理 机 箱 中 的 主要 部 件 : 刀片 .电源 、 风 扇 和 一 
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些 扩 展 连 接 模块 。 如 图 9-81 所 示 是 OA 管理 登录 界面 。 


10/100/1000 USB Port Serial Port VGA Monitor 
RJ-45 Port Connection 


图 9-80 OA 管理 模块 


HP Onboard Administrator 


Copiate @ 2006 Hewitt Packard, nc Al ropts reserved. HP, the HP Pus, and 
Te Logo we Mystmed yaomnerus of Hewes Packar, e 


图 9-81 OA 管理 登录 界面 


根据 指示 灯 的 不 同 状态 以 及 不 同 组 合 , 可 初步 判断 以 下 4 类 服务 器 硬件 故障 类 型 。 

© 刀片 服务 器 未 正确 安装 /配置 。 

@ 机 箱 电源 模块 未 正确 安装 /故障 /缺失 。 

© OA 模块 未 正确 配置 (如 供电 限额 ,电源 元 余 模式 ) 。 

@ 刀片 服务 器 本 身 硬件 未 正确 安装 /配置 (如 内 存 ) 。 

因此 服务 器 硬件 故障 的 排查 思路 如 下 。 

O 若 所 有 服务 器 插 和 人 机 框 后 电源 LED 指示 灯 均 不 亮 ,查看 机 箱 电 源 模块 是 否 插 牢 ,替换 
电源 线 排除 电源 线 故 障 。 

D 该 刀片 服务 器 插入 机 框 后 电源 LED 指示 灯 均 不 亮 , 检 查 刀 片 服务 器 的 安装 和 配置 。 

@ 检查 OA 管理 配置 。 

@ 登录 OA/ 管 理 显示 屏 , 检 查 是 否 存在 供电 不 足 ( 需 更 改 机 箱 电源 配置 或 增加 电源 模 
块 ) 查看 是 否 有 其 他 告警 并 根据 告警 提示 的 解决 方案 处 理 。 

2. 流程 图 相关 操作 说 明 

(1) 刀片 电源 指示 灯 是 否 点 亮 

查看 服务 器 电源 指示 灯 , 如 图 9-82 编号 @ 所 示 。 如 果 电 源 指示 灯亮 , 则 继续 判断 指示 灯 
颜色 ; 车 电源 指示 灯 仍 不 亮 , 则 开始 排查 刀片 无 法 供电 原因 。 
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9-82 ”检查 电源 指示 灯 


(2) 其 他 刀片 是 否 正常 上 电 

查看 其 他 刀片 服务 器 是 否 正常 上 电 , 如 果 上 电 正 常 , 则 问题 定位 在 该 刀片 服务 器 本 身 ( 安 
装 .配置 或 者 硬件 问题 ); 否则 , 则 排查 机 框 供电 (电源 线 和 电源 模块 是 否 存 在 问题 OA 上 的 
配置 是 否 正确 )。 

车 如 图 9-83 所 示 服 务 器 的 电源 指示 灯 思 和 健康 指示 灯 呈 都 是 绿色 ,说明 服 务 器 未 发 现 故 
障 , 同 时 也 可 以 正常 开机 、 启 动 ,说明 刀 片 服务 器 硬件 正常 。 


图 9-83 刀片 服务 器 前 面板 指示 灯 


(3) 检查 机 箱 电 源 模块 .电源 线 正 确 安装 或 连接 

按照 如 下 步骤 检查 机 框 电源 线 和 电源 模块 。 

D 电源 线 是 否 松 动 。 

© 电源 线 是 否 故障 ,寻找 其 他 电源 线 进行 替换 验证 ,确认 电源 线 正 常 。 

@ 重新 安装 电源 模块 : 电源 模块 安装 没有 正确 就 位 ,会 导致 服务 器 无 法 正常 开机 。 因 此 
先 断 开 电 源 线 ,然后 拔 出 并 重新 安装 电源 模块 。 

如 果 以 上 步骤 执行 完毕 后 系统 电源 指示 灯亮 , 则 继续 判断 指示 灯 颜 色 ; 若 电源 指示 灯 仍 
不 亮 ,可 联系 H3C 400-810-0504 解决 。 

(4) 插 拔 /更 换 刀 片 槽 位 后 电源 指示 灯 是 否 点 训 

搬 拔 刀片 服务 器 是 为 了 确认 服务 器 安装 正确 .检查 步骤 如 下 。 

(D 确认 问题 刀片 服务 器 。 

© 按照 如 图 9-84 RHH JIRI A o 

@ 将 刀片 服务 器 重新 安装 进 机 箱 。 

如 果 本 步骤 执行 完毕 后 系统 电源 指示 灯亮 , 则 继续 判断 指示 灯 颜 色 ; 若 电源 指示 灯 仍 不 
亮 , 则 对 刀片 服务 器 进行 更 换 槽 位 ,同时 联系 H3C 400-810-0504 解决 。 
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9-84” 氢 出 刀片 服务 器 


更 换 刀 片 服务 器 所 在 槽 位 是 为 了 确认 机 箱 中 间 板 供电 良好 ,步骤 如 下 。 

(D 确认 问题 刀片 服务 器 。 

© 按照 如 图 9-84 所 示 拆 印 刀片 服务 器 安装 到 其 他 槽 位 。 

说 明 : 

(a) 更 换 测 试 的 槽 位 ,优先 选择 空余 槽 位 。 如 果 没 有 空 档 位 ,在 不 影响 客户 业务 的 前 提 
下 ,将 其 中 一 台 供 电 正 常 的 刀片 服务 器 正常 关机 ,拆卸 并 放 在 平坦 的 工作 面 上 。 在 检测 完成 后 
再 将 服务 器 回归 原来 楷 位 。 

(b) 为 减少 设备 表面 过 热 而 造成 人 身 伤害 的 危险 ,请 在 驱动 器 和 内 部 系统 组 件 散 热 后 再 
触摸 它们 。 为 防止 电子 器 件 受 损 , 请 在 开始 任何 安装 过 程 之 前 ,将 服务 器 刀片 正确 接地 。 接 地 
不 当 可 能 会 释放 静电 。 

(5) 该 刀片 电源 指示 灯 为 琥珀 色 

查看 服务 器 电源 指示 灯 , 如 图 9-85 编号 四 所 示 。 系 统 电源 指示 灯 若 点 亮 且 为 琥珀 色 ,说 
明 服 务 器 处 于 待机 状态 ,此 时 服务 器 可 能 有 如 下 情况 。 


图 9-85 检查 电源 指示 灯 是 否 为 琥珀 色 


D 服务 器 没有 开机 。 

(a) 服务 器 首次 安装 ,没有 按 开机 的 电源 键 。 

(b) 机 框 之 前 重启 过 ,在 OA 上 配置 不 默认 启动 。 

@ 电源 供电 不 足 (OA 配置 电源 宛 余 模式 不 合理 ) 造 成 服务 器 未 启动 。 
@ 内 存 问题 造成 服务 器 未 启动 。 

© 其 他 问题 导致 (根据 管理 显示 屏 /OA 提示 进一步 分 析 处 理 ) 。 
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(6) 检查 OA 配置 并 按 下 电源 键 
如 图 9-86 编号 四 所 示 , 按 下 电源 键 将 服务 器 开机 。 


让 站 | 


E 9-86 按 下 电源 键 


如 果 服 务 器 能 仍 无 法 开机 , 则 需要 登录 OA 查看 是 否 有 供电 不 足 的 情况 ,如 图 9-87 所 示 。 
如 果 确 实 存在 供电 不 足 情况 ,解决 方法 是 提高 设置 的 供电 上 限额 度 \ 增 加 电源 模块 (推荐 ) 或 者 
修改 电源 元 余 模 式 降低 元 余 性 (如 N 十 N 元 余 改 成 无 元 余 ) 。 


The nome omen tm ehocetes power n tne enclosure based on device power roguesis. These devies cade sever lades, rtercomect modes, ters, 
rd Administrator modes. Enclosure mlocated power is an aggregate of the alocated power tor ol the devices. 


The watis avaiable are based on the enclosure's curert redundancy mode Watts avodotie is equs to the enclosure's totai power minus the amourt required to 
sustain redundancy 


Nite Power stocain i nat o presen rending ot ne enclonure's power number which s calcuealed io 
serve Aa manay ranba q a 人 ren anal hn 本 和 


图 9-87 机 箱 电源 供电 统计 
机 框 功 率 限额 设置 过 低 , 会 导致 供电 不 足 , 如 图 9-88 所 示 。 


[yy 


@ Enclosure Dynamic Power Cap: Set this value € your! as provided an enclosure levei power cons oulng imiabon and yov 
To 
TrendeyvooahonkhnernirarreToloTeer pool cap. BOA PEP Ax more Pimi sa see 
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DamePowwcer  [ ] oaoe-2t73wets aO) kasi 

peoia a | cn pn 

mmama om-xwwm 

eroge power wi not exceed Drarwe Power Cap x Derste power yana exceed Rates crout angre. 
me PoU rn S0 aos 1 Nerin Aerea rd pn te 0 sothe 

FDU nas a derated aoa or 24 amp (0 80 * 0) AX vots, Pie Rled Crou Capacty wok be erderea as 6260 wets (30 208), orei the 

Deraea creua. sees (4: 500 Tre Derqed Creu Capacty mast be < least at large ws the Dyare Power Cap 
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图 9-88 机 箱 供电 功率 限额 设置 
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电源 宛 余 模 式 有 3 种 ,如 图 9-89 所 示 。 
© No Redundant( 无 元 余 ) 。 

© Power Redundant(N+1) 。 

© AC Redundant (N+ N), 


Rack Overview (Q plos 2 configuration shown) 
Racx Firmware 


Primary: BCU3322GVZ 
E Erciosure information 


are enforced and; 


Enclosure Power Summary 


9-89 机 箱 电 源 宛 余 模式 


Not Redundant: No power redundaney rules , warnings wil: 
Supply Present Power, the (ilor of š power sapiy or power feed to the enclosure may cause the enclosure to brown-out. -JT Sfo 


@ AC Redundant In this contiguration N power supplies are vsed to provide power and N are used to provide redundancy, where N can equal 1, 2 or 3, 
When correcty mired wh redundant AC Ane feeds this wili onare that an AC line feod aleve , of. 


NAN NiE aonan DAO ANERO N POT 


交流 见 余 (N+N) 


Tm the event of 3 
power suppy' 


not be piven. H ali of the power supplies are needed to 


机 框 重启 后 服务 器 是 否 自动 开机 可 以 在 OA 界面 上 设置 , 即 如 果 发 现 服务 器 不 是 开机 状态 ， 
原因 也 可 能 是 由 于 之 前 机 框 重启 过 且 OA 界面 设置 了 服务 器 不 会 自动 启动 ,如 图 9-90 所 示 。 


ovrog 
B Device D 
1 FlexServer j 
Rack Overview 
Rack Firmware 2 FlexServer T] 
Primary: C8000 3 Absent EEN c 
E Encosure information 4 Absent "a 
— ~ ° | seconds 
目 Encosure Settings 
AlertMai 5 Absent Disabled ~ O |] seconds 
6 Absent Daabled ~ 
Date and Time 2 | seconds 
Enclosure TCPMP Settings z Absent Dsabled bp | seconds 
Network Access 
8 Absent < 
Link Loss Faiover 一 2 | seconds 
SNMP Settings 9 Absent Disabled ~ ns 
回 Encosure Bay P adaressing 
10 Absent m 
Configuration Scripts — 2 | esconde 
Reset Factory Detauts " Absent Disabed ~ i cnis 
Device Summary 
DVD Drive e Aent Dissbled ~ mm |== 
13 Absent " 


图 9-90 机 箱 设备 电源 启动 顺序 设置 
(7) 检查 刀片 CPU 内存 等 


刀片 服务 器 CPU 或 内 存 缺 失 、 故 障 或 者 安装 不 正确 都 可 能 导致 服务 器 启动 异常 。 登 录 
该 刀片 服务 器 的 iLO 界面 或 者 将 显示 器 直 连 服务 器 ,在 服务 器 重启 过 程 中 查看 自 检 过 程 是 否 
有 CPU、 内 存 等 告警 ,根据 相应 的 提示 是 内 存 故障 、 缺 失 还 是 安装 错误 进行 相应 处 理 。 


如 果 提 示 硬 件 故障 ,请 联系 H3C 400-810-0504 处 理 。 


例如 : 如 图 9-91 所 示 , 在 服务 器 启动 过 程 中 发 现 有 “207-DIMM Error: Processor 1, DIMM 4 
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has receved an uncorrectable error” 的 告警 , 即 CPU1 对 应 的 4 号 内 存 插 棋 上 的 内 存 硬 件 报错 。 


图 9-91 CPU1 对 应 的 4 号 内 存 插 槽 的 内 存 硬件 报错 
(8) 该 刀片 健康 指示 灯 为 绿色 
查看 服务 器 健康 指示 灯 ,如 图 9-92 编号 四 所 示 。 如 果 是 绿色 说 明正 常 ,如果 闪 红色 或 者 琥 
珀 色 说 明 可 能 是 CPU 内存 等 问题 。 


图 9-92 检查 键 康 指示 灯 
(9) 机 框 管理 显示 屏 背 景 绿 色 
查看 机 框 管理 显示 屏 的 背景 颜色 , 即 查看 整个 机 箱 的 健康 状态 等 信息 ,如 图 9-93、 图 9-94 
所 示 。 


图 9-93 机 框 管理 显示 屏 
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Main Menu Main Menu 


Health Summary 
Enclosure Settings 
Enclosure Info 


Health Summary 
Enclosure Settings 
Enclosure Info 
Blade or Port Info 

L 


Blade or Port Info 
Turn Enclosure UID on 
View User Note 

Chat Mode 


View User Note 
Chat Mode 
Main Menu Help 


9-94 机 框 管理 显示 屏 示意 图 


不 同 的 状态 下 颜色 定义 如 下 。 

O RE: 机 器 没有 错误 且 UID 被 设 为 ON 的 状态 。 

@ 绿色 : 机 器 没有 任何 错误 或 警告 ,2 分 钟 后 变 暗 。 

O 橘 黄 色 : 机 器 出 现 错误 或 警告 。 

(10) 插 拔 刀片 后 正常 上 电 

插 拔 刀片 服务 器 是 为 了 确认 服务 器 安装 正确 ,如 图 9-84 所 示 ,检查 步骤 如 下 。 

D 确认 问题 刀片 服务 器 所 在 槽 位 。 

@ 按照 下 图 拆 印 刀片 服务 器 。 

O 将 刀片 服务 器 重新 安装 进 机 箱 。 

如 果 本 步骤 执行 完毕 后 刀片 服务 器 开机 仍 不 正常 , 即 可 联系 H3C 400-810-0504 解决 。 

(11) 查看 管理 显示 屏 /OA 错误 告警 并 按照 解决 提示 信息 操作 

通过 管理 显示 屏 或 者 Web 登录 OA 管理 界面 (推荐 ) 查 看 是 否 有 相应 告警 信息 ,如 风扇 散热 
告警 等 ,根据 提示 的 解决 方法 信息 处 理 。 如 果 无 法 解决 , 即 可 联系 H3C 400-810-0504 处 理 。 
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10 EPON_Eoc 产品 > 10.1.1 NUERA Se 


1. 开始 

EPON 系统 是 由 三 部 分 组 成 ,分 别 为 OLT .ODN 以 及 ONU, 中 间 的 光 分 配 网 不 存在 有 源 
设备 ,在 很 大 程度 上 降低 了 设备 的 维护 成 本 ,但 是 由 于 光纤 的 特殊 性 ,很 容易 引入 损耗 问题 。 
所 以 ,定位 故障 的 思路 是 : 先 查 配置 .再 查 光 路 、 最 后 再 查看 是 否 是 设备 硬件 问题 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 ONU 在 线 状 态 

查看 对 应 ONU 的 当前 状态 。 

O 若 当前 ONU 状态 显示 为 Up ,说明 ONU 已 经 绑 定 ,属于 正常 状态 。 

© 若 当前 ONU 状态 显示 为 Silent ,说明 ONU 处 于 静默 状态 ,未 在 对 应 的 ONU 端口 绑 
定 MAC。 

© 若 当 前 ONU 状态 显示 为 Offline, 说 明 ONU 已 绑 定 MAC, 但 由 于 绑 错 MAC 地 址 或 
者 其 他 原因 导致 ONU 无 法 Up. 

@ 若 当 前 ONU 状态 显示 为 Down, 说 明 ONU 已 绑 定 MAC, 但 由 于 ONU 端口 被 手工 
Shutdown 或 者 其 他 原因 导致 ONU 无 法 Up。 

MA: display onuinfo slot slot-number 


例如 : 通过 命令 查看 ,确认 当前 ONU 状态 。 


[H3C] display onuinfo slot 2 

| ORIO = =——— 

ONU Mac Address LLID Dist(M) Port Board/Ver Sft/Epm State Aging 
000f-e2b9-cdf7 2 | Onu2/0/1:1 ET716/B 105/100 Up N/A 
000f-e26f-a230 1 2 Onu2/0/1:2 ET254-L/B 118/100 Up N/A 
Ocda-41e3-5468 3 el Onu2/0/1:3 ET254-L/B 111/100 Down N/A 
0023-89b9-34al 0 N/A Onu2/0/1:4 N/A N/A Offline N/A 
000f-e2b8-2638 0 N/A N/A N/A N/A Silent 272s 


(2) 查看 ONU 端口 配置 

查看 对 应 ONU 端口 视图 下 OLT 下 发 给 ONU 的 配置 。 
命令 : display this 

例如 : 通过 命令 查看 ,确认 已 绑 定 了 正确 的 ONU MAC 地 址 。 


[H3C-Onu2/0/1:1] display this 

# 

interface onu2/0/1:1 // 进 入 ONU 端口 视图 
bind onuid 000f-e26f-a230 //3 3 ONU 的 MAC 地 址 
# 

return 


(3) 查看 OLT 侧 光 路 告警 信息 

查看 OLT 上 的 trapbuffer 是 否 存在 大 量 的 FER OW RT% ) , BER (比特 错误 率 ) 或 者 
OAM 告警 。 

MA: display trapbuffer 
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例如 : 通过 命令 查看 ,可 以 确认 现 网 中 是 否 存在 大 量 的 光路 告警 信息 。 


< H3C> display trapbuffer 
Aug 20 13:43:38 2012 S75E EPON/1/TRAP FER: 

Trap 1.3.6.1.4.1.2011.10.2.42.1.8.0.2(h3cEponPortAlarmFerTrap) : A FER alarm trap has been| 
detected, // 表 示 发 现 一 个 FER 告警 信息 

interface index is 201327022, 

entry index is 201327022, 

interface description is Onu2/0/1:1, // 表 示 接 口 描述 
# Aug 20 18:40:55 2012 S75E EPON/1/TRAP_BER: 

Trap 1.3.6.1.4.1.2011.10.2.42.1.8.0.1(h3cEponPortAlarmBerTrap): A BER alarm trap has been| 
detected, // 表 示 发 现 一 个 BER 告警 信息 

interface index is 134218102, 

entry index is 134218102, 

interface description is Onu2/0/1:2, // 表 示 接 口 描述 
# Aug 20 15:34:41 2012 S75E EPON/1/TRAP_OAM_THRESHOLD: 

Trap 1.3.6.1.4.1.2011.10.2.42.3.1.7.0.1(h3cDot3OamThresholdEvent): An OAM threshold| 
event trap has been detected, // 表 示 发 现 一 个 OAM 告警 信息 

interface index is 268435822, 

OAM entry event index is 268435822, 


(4) 查看 光 功 率 
查看 ONU 侧 接收 的 光 功 率 值 。 
使 用 光 功 率 计 测量 ONU 侧 接收 的 光 功 率 值 ,ONU 光 功 率 参数 如 表 10-1 所 示 。 


表 10-1 ONU 光 功 率 参数 


上 下 行 波长 上 行 1310nm, 下 行 1490nm 
接收 饱和 光 功 率 一 3dBm 

接收 灵敏 度 一 26. 5dBm 

发 射 光 功率 十 4dBm 一 一 1dBm 


如 果 测 量 值 在 ONU 的 接收 范围 之 外 ,都 有 可 能 导致 注册 不 上 。 使 用 光 功 率 计 测量 ONU 
的 接收 光 功率 值 时 , 需 注 意 测量 的 光纤 位 置 ,将 接 入 ONU PON 接口 的 光纤 拔 出 接 和 到 光 功 
率 计 的 指定 端口 进行 测量 。 

如 果 ONU 是 ET704-L-A/ET254-L-A/ET254-G-A, 可 以 通过 串口 或 者 Telnet 到 ONU 
上 ,通过 命令 查看 当前 光 功 率 信息 。 

命令 : display optics-power 

例如 : 通过 命令 查看 ,可 以 确认 ONU 接收 光 功 率 值 是 否 正常 。 


<H3C>display optics-power // 显 示 PON 接收 /发 送 光 功率 信息 
PON: 

Receive :一 16.78dBm // 当 前 接收 光 功 率 信息 

Transmit: 1.46dBm // 当 前 发 送 光 功 率 信 息 

(5) 检查 光路 


O 检查 ONU 侧 尾 纤 接 口 是 否 为 SC/PC. 若 不 是 则 需要 更 换 尾 纤 。 

© 使 用 专业 清洁 工具 擦拭 光纤 链 路 上 各 接口 的 光纤 截面 ,排查 光纤 端面 污 损 引起 。 

@ 检查 光纤 链 路 各 接口 是 否 连接 良好 。 

@ 检查 光纤 总 长 度 是 否 小 于 20km, 可 参考 附近 正常 注册 的 ONU 测 距 参数 ,如 果 超 过 
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20km 需要 调整 光纤 链 路 ,以 满足 要 求 。 
MS: display onuin fo slot slot-number 


例如 : 通过 命令 查看 ,可 以 确认 ONU 到 OLT 的 距离 。 


[H3C] display onuinfo slot 2 

E ORZ 0/1 = a 
ONU Mac Address LLID Dist(M) Port Board/Ver Sft/Epm State Aging 
000f-e2b9-cdf7 2 <1 Onu2/0/1:1 ET716/B 105/100 Up N/A 
000f-e26f-a230 1 2 Onu2/0/1:2 ET254-L/B 118/100 Up N/A 


© 观察 同一 分 光 器 下 是 否 有 其 他 ONU 能 够 正常 注册 ,如 果 在 同一 分 光 器 下 ,没有 正常 
注册 的 ONU, 则 分 光 器 或 者 该 分 光 器 主干 线路 存在 问题 ; 如果 同一 分 光 器 下 其 他 注册 正常 ， 
需 继续 下 一 步 排查 。 

@ 将 故障 ONU 移 至 上 一 级 分 光 器 下 测试 是 否 正常 。 如 果 正 常 ,说 明 该 段 尾 纤 存 在 问 
题 ,如 果 不 正常 , 需 继续 下 一 步 排查 。 

D 替换 主干 光纤 链 路 观察 。 

(6) 检查 设备 指示 灯 状 态 

D 检查 ONU 的 Power 指示 灯 状 态 

检查 ONU 面板 上 的 Power 指示 灯 是 否 一 直 处 于 亮 起 状态 , 常 亮 则 表示 ONU 供电 正常 ; 
如 果 蜡 常 说 明 是 电源 输出 问题 或 者 设备 故障 。 

检查 电源 问题 如 下 。 

(a) ONU 电源 接口 是 否 择 紧 ,连接 是 否 正常 。 

(b) 插 线 板 或 插座 是 否 已 经 通电 ,可 接 上 其 他 电器 设备 验证 。 

(ce) 插 线 板 或 插座 与 ONU 电源 线 接触 是 否 良好 。 

(d) 尝试 更 换 一 条 电源 线 观 察 是 否 正常 。 

@ 检查 ONU 的 Diag 指示 灯 状 态 

(a) 检查 ONU 面板 上 的 Diag 指示 灯 ,熄灭 则 表示 设备 工作 在 正常 状态 。 

(b) 如 果 亮 一 会 儿 就 灭 掉 ,说 明 是 设备 系统 自 检 所 致 ,属于 正常 情况 。 

(c) 如 果 一 直 常 亮 或 者 闪烁 , 均 表示 设备 故障 ,建议 更 换 ONU 观察 。 

@ 检查 ONU 的 PON 口 指示 灯 状 态 

(a) 检查 ONU 面板 上 的 PON 口 指示 灯 是 否 一 直 处 于 亮 起 状态 , 常 亮 则 表示 ONU 与 
OLT 之 间 PON 链 路 已 经 正常 建立 。 

(b) 如 果 一 直 处 于 闪烁 状态 ,表示 PON 口 检测 到 光 信 号 ,正在 建立 链 路 。 

(c) 如 果 处 于 熄灭 状态 ,表示 PON 链 路 未 建立 连接 ,可 能 是 光路 不 通 、 链 路 衰减 过 大 或 者 
设备 故障 。 
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10 EPON _Eoc 产品 AERD 10.1.2 OER 步骤 详解 


1. 开始 

ONU 因 硬 件 故障 或 软件 异常 ,会 导致 不 按照 OLT 分 配 的 时 隙 来 关闭 光 模 块 发 光 器 ,在 
其 他 ONU 时 隙 还 继续 发 光 ,我 们 称 该 类 故障 ONU 为 长 发 光 ONU。 它 将 影响 到 OLT 接收 
同一 端口 下 的 其 他 ONU 的 上 行 光 信号 ,出 现 误 码 ,甚至 无 法 连接 。 虽 然 在 实际 网 络 中 发 生长 
发 光 ONU 故障 概率 很 低 ,但 影响 范围 大 。 

定位 故障 的 思路 是 : 首先 判断 是 否 为 长 发 光 故 障 ,然后 再 确认 ONU 的 连接 方式 ,最 后 根 
据 长 发 光 ONU 特点 找 出 故障 ONU, 

2. 流程 图 相关 操作 说 明 

(1) 测量 OLT 端口 接收 光 功 率 值 是 否 大 于 一 30dBm 

在 OLT 侧 断 开光 纤 ,使 用 光 功 率 计 测量 OLT 接收 1310nm 波长 的 光 功 率 值 。 如 果 测 量 
值 大 于 一 30dBm ,可 以 确认 网 络 中 存在 长 发 光 ONU; 如 果 测 量 值 小 于 一 30dBm 或 者 无 法 读 取 
到 数值 ,一般 为 非 长 发 光 故 障 , 有 可 能 是 大 面积 光纤 损坏 或 大 面积 掉 电 等 其 他 情况 。 

(2) ONU 是 否 通过 配 线 架 方式 连接 

对 应 如 下 两 种 方式 ,确认 当前 ONU 是 通过 哪 种 方式 连接 。 

O 通过 分 光 器 直 连 方式 ,如 图 10-1 所 示 。 


QÊ 表示 在 线 ONU 
oLT 


和 表示 掉 线 ONU 


Ponui 


—13.4dBm 


x onul0 x onull 


onu4 -20.5dBm -20.4dBm 


196dBm 2& mu5 Monu6 


-18.2dBm -19.8dBm 
图 10-1 分 光 器 直 连 方法 
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© 通过 配 线 架 连接 方式 ,如 图 10-2 所 示 。 


SP 表示 在 线 ONU 
2 表示 措 线 ONU 

1:2 分 光 器 

分 光 器 1 
一 级 配 线 架 
1:16 分 光 器 1:16 分 光 器 
分 光 器 2 分 光 器 3 

| 三 级 配 线 架 二 级 配 线 架 

X onul X onu2 X onu3 Ponu4 Sonu5 Sonu6 X onu7 


10-2 配 线 架 连接 方式 


(3) 检查 衰减 最 小 的 掉 线 ONU 

长 发 光 故 障 ONU 最 有 可 能 是 掉 线 ONU 中 接收 光 功 率 值 最 大 ( 即 训 减 最 小 ) 的 那个 
ONU。 所 以 ,参考 实际 ONU 所 在 地 与 OLT 之 间 的 距离 ,优先 排查 掉 线 ONU 中 光 训 最 小 、 距 
离 OLT 最 近 的 那 台 。 

例如 : 某 个 ONU 出 现 长 发 光 ( 按 OLT 侧 接 收 光 功率 值 由 大 到 小 排序 ) ,如 表 10-2 所 示 ， 
MJ 2/0/1:4 和 2/0/1:5 最 有 可 能 是 长 发 光 ONU, 


表 10-2 OLT 侧 接收 的 光 功 率 


OLT 侧 接收 的 | ， 和 

ONU 端口 号 光 功 率 (dBin) 状态 备 È 

ONU 2/0/1:2 一 7.8 ER | 光 功 率 最 大 的 ONU ,一 般 为 分 光 最 大 或 最 近 的 ONU 

ONU 2/0/1:1 一 13. 41 在 线 

ONU 2/0/1:3 —13.8 在 线 

ONU 2/0/15 i 掉 线 最 接近 在 线 ONU 一 13. 8dBm 的 光 功 率 , 较 大 可 能 为 长 发 光 设 备 ， 
优先 排查 

ONU 2/0/1:4 =j 挤 线 最 接近 在 线 ONU 一 13. 8dBm 的 光 功 率 , 较 大 可 能 为 长 发 光 设 备 ， 
优先 排查 

ONU 2/0/1:6 一 19. 69 掉 线 

ONU 2/0/1:8 一 20. 41 掉 线 

ONU 2/0/1:7 —20. 56 掉 线 


(4) 插 拔 配 线 架 分 支线 路 

如 图 10-3 所 示 ,分 光 器 2 下 掉 线 的 ONU 比分 光 器 3 下 多 ,通过 插 拔 一 级 配 线 架 下 连接 分 
光 器 2 的 线路 。 如 果 拔 掉 后 ,所 有 掉 线 的 ONU 都 注册 上 来 了 , 则 可 以 判断 该 分 光 器 下 存在 长 
发 光 ONU, 

如 果 拔 掉 后 ,其 他 分 光 器 下 掉 线 的 ONU 依旧 无 法 注册 上 来 , 则 该 分 光 器 下 没有 长 发 光 
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9 表示 在 线 ONU 
K x 表示 措 线 ONU 

1:2 分 光 器 

分 光 器 1 
一 级 配 线 架 
1:16 分 光 器 = 3、1:16 分 光 器 
分 光 器 2 分 光 器 3 

二 级 配 线 架 二 级 配 线 架 

X onul X onu2 X onu3 onus Sonu5 Sonu6 X onu7 


10-3 ” 揪 拔 配 线 架 分 支线 路 


ONU ,继续 插 拔 另 外 一 路 测试 。 

(5) 插 拔 配 线 架 连 接 ONU 的 每 一 条 光路 

依次 插 拔 配 线 架 下 连接 ONU 的 每 一 条 光路 ,可 以 判断 该 路 下 连接 的 ONU 为 长 发 光 故 
障 ONU。 如 果 拔 掉 对 应 的 光纤 , 则 其 他 掉 线 ONU 能 够 正常 注册 上 来 。 


10.1.3 OLT 上 无 法 ping 
10 EPON _EocC 产品 通 ONU 的 管理 
地 址 故障 排查 


0LT 上 无 法 mg 通 ONU 的 管理 地 址 故障 排查 


— 表 元 上 一 步 结果 正高 
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1. 开始 


通过 OLT 配置 ONU 的 管理 地 址 ,可 以 方便 管理 员 通 过 telnet 或 者 Web 的 方式 对 ONU 
进行 远程 管理 。 定 位 故障 的 思路 是 : 先 查 看 ONU 是 否 在 线 ,再 检查 ONU 和 OLT 的 相关 配 
置 是 否 正确 ,然后 检查 路 由 是 否 可 达 , 最 后 检查 是 否 已 开启 相关 端口 隔离 功能 。 

2. 流程 图 相关 操作 说 明 

(1) 查看 ONU EBER 

查看 对 应 ONU 的 当前 状态 。 

O 若 当前 ONU 状态 显示 为 Up, 说 明 ONU 已 经 绑 定 ,属于 正常 状态 。 

© 若 当 前 ONU 状态 显示 为 Silent, 说 明 ONU 处 于 静默 状态 ,未 在 对 应 的 ONU 端口 绑 
定 MAC。 

© 若 当前 ONU 状态 显示 为 Offline, 说 明 ONU 已 绑 定 MAC, 但 由 于 绑 错 MAC 地 址 或 
者 其 他 原因 导致 ONU 无 法 Up. 

© 若 当 前 ONU 状态 显示 为 Down, 说 明 ONU 已 绑 定 MAC, 但 由 于 ONU 端口 被 手工 
Shutdown 或 者 其 他 原因 导致 ONU 无 法 Up。 

MA: display onuinfo slot slot-number 


例如 : 通过 命令 查看 ,确认 当前 ONU 处 于 Up 状态 。 


10.1.3 OLT 上 无 法 ping 
通 ONU 的 管理 
地 址 故障 排查 


[H3C] display onuinfo slot 2 

| ON 

ONU Mac Address LLID Dist(M) Port Board/Ver Sft/Epm State Aging 
000f-e2b9-cdf7 2 < Onu2/0/1:1 ET716/B 105/100 Up N/A 

000f-e26f-a230 J 2 Onu2/0/1:2 ET254-L/B 118/100 Up N/A 
Ocda-41e3-5468 3 < Onu2/0/1:3 ET254-L/B 111/100 Down N/A 
0023-89b9-34a1 0 N/A Onu2/0/1:4 N/A N/A Offline N/A 
000f-e2b8-2638 0 N/A N/A N/A N/A Silent 272s 


(2) 检查 ONU 端口 配置 

D 查看 对 应 ONU 端口 视图 下 OLT 下 发 给 ONU 的 配置 。 

命令 : display this 

例如 : 通过 命令 查看 ,指定 ONU 管理 VLAN 为 VLAN 10, 管 理 地 址 为 192. 168. 10.1, 
网 关 为 192. 168. 10. 254,ONU 端口 的 PVID 为 10。 


[H3C-Onu2/0/1:1] display this 
# 


interface onu2/0/1:1 

bind onuid 000f-e26f-a230 // 绑 定 onu 的 mac 地 址 

management-vlan 10 // 指 定 VLAN 10 为 ONU 的 管理 VLAN 

undo shutdown management-vlan-interface //}I FEM VLAN 接口 

ip address 192.168.10.1 255.255.255.0 gateway 192.168.10.254 // 配 置 管理 VLAN 接口 的 IP 地 址 
为 192.168.10.1, 网 关 地 址 为 192.168.10.254 

port link-type trunk 

port trunk pvid vlan 10 //ONU 端口 PVID 为 VLAN 10 


return 
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© # ONU 配置 的 是 自动 获取 地 址 ,查看 对 应 ONU 端口 视图 下 OLT 下 发 给 ONU 的 
配置 。 

命令 : display this 

例如 : 通过 命令 查看 ,确认 ONU 的 配置 。 


[H3C-Onu2/0/1:1] display this 

# 

interface onu2/0/1:1 

bind onuid 000f-e26f-a230 // 绑 定 onu 的 mac 地 址 
management-vlan 10 // 指 定 VLAN 10 为 ONU 的 管理 VLAN 
undo shutdown management-vlan-interface 。”// 打 开 管 理 VLAN 接口 

ip address dhcp-alloc // 通 过 DHCP 功能 自动 获取 IP 地 址 
port link-type trunk 

port trunk pvid vlan 10 //ONU 端口 PVID 为 VLAN 10 

# 

return 


© 查看 对 应 ONU 端口 视图 下 当前 ONU 是 否 有 获取 到 IP 地 址 。 

命令 : display dhcp-client 

例如 : 通过 命令 查看 ,ONU 作为 DHCP 客户 端 时 获取 到 的 管理 地 址 为 192. 168. 10. 3, 网 
关 为 192. 168. 10. 254, 


[H3C-Onu2/0/1:1]display dhcp-client 
DHCP client statistic information: 
Protocol status: enabled 

Current machine state : BOUND 


Allocated IP :192.168.10.3 255.255.255.0 
Gateway IP :192.168.10.254 
Server IP : 192.168.10.1 


(3) 检查 OL T 端口 配置 
O 查看 对 应 OLT 端口 视图 下 的 当前 配置 。 

命令 : display this 

例如 : 通过 命令 查看 ,OLT 端口 允许 VLAN 10 tag 通过 。 


[H3C-Olt2/0/1] display this 

# 

interface olt2/0/1 

using onu 1 to 64 

port link-type hybrid 

undo port hybrid vlan 1 

port hybrid vlan 10 tagged 。 // 人 允许 VLAN 10 #F tag 通过 
# 


return 


© 如 果 OLT 端口 配置 了 QinQ 功能 ,需要 将 相应 的 管理 VLAN 透 传 。 
MS: display this 
例如 : 通过 命令 查看 .OLT 端口 允许 管理 VLAN 10 透 传 通过 。 


[H3C-Olt2/0/1] display this 
# 
interface olt2/0/1 


1296 j R 65 Z Ë] — F) 2 3 KAE 


using onu 1 to 64 

port link-type hybrid 

undo port hybrid vlan 1 

port hybrid vlan 10002000 3000 tagged 

qinq enable 

qinq transparent-vlan10 // 人 允许 VLAN 10 带 tag 透 传 通过 
qos apply policy q_olt_in inbound 

# 


return 


(4) 是 否 在 同一 VLAN 

查看 OLT 上 是 否 已 创建 与 ONU 管理 VLAN 相同 的 VLAN, 以 及 在 该 VLAN 内 添加 相 
应 的 VLAN 虚 接 口 地 址 。 

车 不 在 同一 VLAN 内 ,查看 路 由 是 否 可 达 。 

(5) 检查 路 由 可 达 性 

如 果 ONU 的 网 关 在 OLT 上 , 则 检查 OLT 上 是 否 已 创建 相应 的 VLAN 虚 接 口 ,并 且 在 
VLAN 虚 接 口内 添加 对 应 的 地 址 与 ONU 的 网 关 地 址 形成 直 连 路 由 ; 若 不 存在 , 则 创建 相应 
VLAN 虚 接 口 。 

如 果 ONU 的 网 关 在 OLT 上 一 级 设备 上 , 则 检查 OLT 上 是 否 有 到 ONU 网 关 的 路 由 ; 若 
没有 , 则 添加 相应 路 由 ,确保 路 由 可 达 。 

(6) 使 能 OLT 及 ONU 的 UNI 端口 隔离 功能 

O E OLT 端口 视图 下 使 能 OLT 端口 隔离 功能 。 

命令 : port-isolate enable 


例如 : 通过 命令 使 能 OLT 端口 隔离 功能 。 
[H3C-Olt2/0/1] port-isolate enable // 使 能 OL T 端口 隔离 功能 


© 在 ONU 端口 视图 下 使 能 UNI 端口 隔离 功能 。 
命令 ;uni uni-number port-isolate 


例如 : 通过 命令 使 能 UNI 端口 隔离 功能 。 


[H3C-Onu2/0/1:1] uni 1 port-isolate // 使 能 UNI 1 的 端口 隔离 功能 
[H3C-Onu2/0/1:1] uni 2 port-isolate 

[H3C-Onu2/0/1:1] uni 3 port-isolate 

[H3C-Onu2/0/1:1] uni 4 port-isolate 

@ # ONU 的 型 号 是 ET716/ET724, 需 要 通过 如 下 命令 使 能 UNI 端口 隔离 功能 。 
命令 : onu bort-isolate enable 


例如 : 通过 命令 使 能 UNI 端口 隔离 功能 。 
[H3C-Onu2/0/1:1] onu port-isolate enable // 使 能 所 有 UNI 的 端口 隔离 功能 


OLT 端口 或 ONU 端口 在 未 开启 端口 隔离 功能 的 情况 下 , 若 网 络 中 存在 大 量 广播 报 文 或 
者 环 路 等 因素 ,这 些 广播 协议 报 文 就 可 能 会 上 送 到 ONU 的 CPU 进行 处 理 ,导致 ONU 在 短 
时 间 内 CPU 利用 率 提高 ,从 而 导致 无 法 ping 通 等 问题 。 

(7) 排查 ONU 无 法 注册 问题 

参考 云图 (ONU 注册 类 问题 排 错 》 进 行 排查 。 


SMB V5 交 1 XILPOE tk F 排查 


一 aipate 


---y 衣 元 上 - 步 结果 出 现 问 是 


二 升 PoE 交 所 机 
非 标 设 置 


拨打 热线 
400-910-050+ 
# 4: t 
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1. 开始 

SMB V5 交换 机 如 下 。 

S2100 系列 交换 机 、S2600 系列 交换 机 、S3110 系列 交换 机 、S5000PV2-EI 系列 交换 机 、 
S5110 系列 交换 机 。 

POE 问题 处 理 思路 : 先 检查 设备 是 否 开启 POE 功能 ,再 检查 端口 供电 功率 及 整 机 供电 功 
率 是 否 超 规格 ,再 打开 交换 机 的 非 标 规格 ,最 后 再 收集 相关 信息 并 联系 400-810-0504. 

2. 流程 图 相关 操作 说 明 

(1) 端口 POE 是 否 开启 

检查 是 否 开启 端口 POE 供电 功能 ,默认 设备 的 端口 POE 设置 关闭 ,使 用 时 需要 命令 行 
开启 。 

(2) 命令 行 开 启 POE 功能 

在 对 应 端口 视图 下 ,开启 POE 功能 。 

命令 : poe enable 

(3) 检查 端口 供电 功率 使 用 

在 命令 行 下 查看 端口 及 整 机 的 POE 使 用 功率 ,是 否 超 规格 。 

MA: display poe inter face power 

(4) 调整 网 络 

通过 查看 POE 设置 和 POE 使 用 功率 , 超 规格 需要 调整 网 络 , 如 调整 端口 最 大 供电 功率 、 
减少 PD 设备 。 

(5) 打开 POE 交换 机 非 标 设置 

PD 设备 分 为 标准 PD 和 非 标准 PD, 标 准 PD 是 指 符合 IEEE 802. 3af 标准 的 PD 设备 。 
通常 情况 下 ,PSE 只 能 检测 到 标准 PD, 并 为 其 供电 。 只 有 在 使 能 PSE 检测 非 标准 PD 功能 
后 ,PSE 才能 检测 到 非 标准 PD, 并 为 其 供电 。 

命令 : poe legacy enable 

(6) 收集 信息 反馈 

在 开 了 非 标 检测 后 ,POE 供电 还 是 有 问题 的 话 建议 收集 以 下 信息 ,并 联系 400-810-0504 
反馈 。 


LH3C]_hid 

Now you enter a hidden command view for developer's testing，some commands may 
affect operation by wrong use, please carefully use it with our engineer's 

direction. 


[H3C-hidecmd]debug poe reg-info 1 


查看 bank 0 配置 情况 。 


[H3C-hidecmd]debug poe pse-power 1 0 


查看 POE 端口 统计 信息 (多 查询 几 次 方便 比较 结果 ,至 少 间隔 10s) 。 
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[H3C-hidecmd]debug poe port-mib 1 


查看 POE 相关 配置 信息 。 


[H3C-hidecmd] debug poe pse-info 1 


用 命令 查询 扣 板 软件 信息 。 


[H3C-hidecmd] debug poe pse-trans 2000 1 
Cmd rev OK. 
Respond: 20-00-02-08-01-el-21-13-01-01-09-4b 


Eoc 双 条 网 改造 可 致电 视 .播放 第 癌 故障 排查 
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===) 去 元 上 - 步 结果 出 更 问题 


拨打 热线 
400-310-0504 
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s 10.2.1 EoC 双向 网 改造 导致 电 
10 EPON_EoC 产品 > E A 步 又 详解 


1. 开始 

EPCN 是 H3C 针对 广电 网 双向 改造 推出 技术 ,是 低频 EoC 技术 的 一 种 ,其 通过 广播 电视 
同 轴 网 共 缆 传输 电视 信号 和 EoC 数据 信号 。 在 广电 进行 EoC 双向 网 改造 时 ,可 能 会 遇 到 改造 
后 电视 信号 受 影响 问题 。 

本 指导 主要 以 排查 双向 网 改造 导致 的 电视 播放 异常 ,其 定位 故障 的 思路 是 : 先 判断 是 IP 
QAM/IP TV( 互 动 点 播 ) 异 常 还 是 模拟 /数字 电视 (直播 节目 ) 异 常 ,IP QAM/IP TV 异常 需 检 
查 EoC 网 络 的 连通 性 ,模拟 /数字 电视 异常 需 依据 电视 信号 强度 和 受 影响 的 电视 频率 范围 进 
行 故障 排查 处 理 。 

2. 流程 图 相关 操作 说 明 

d) 是 否 IP QAM/IP TV 点 播 异常 

检查 用 户 反馈 的 电视 播放 异常 的 类 型 , 需 判 断 是 否 为 IP QAM/IP TV 的 电视 节目 (互动 点 
播 ) 受 影响 ,此 类 点 播 节 目 互动 信号 通过 EoC 进行 传输 ,出 现 问 题 时 需要 进一步 排查 EoC 网 络 。 

检查 点 播 异常 现象 是 否 为 画面 经 常 卡 顿 ,马赛 克 、 点 播 无 图 像 等 异常 情况 。 

如 果 没 有 开通 IP QAM/IP TV 点 播 节目 或 点 播 无 异常 , 则 需要 对 模拟 /数字 电视 业务 进 
行 排查 。 

(2) 检查 终端 指示 灯 状 态 

D 检查 终端 Power 灯 状 态 。 

(a) 终端 的 Power 灯 正 常情 况 下 处 于 常 亮 状态 ,如 果 不 是 说 明 是 电源 适配器 输出 问题 或 
者 终端 故障 。 

(b) 检查 终端 电源 接口 是 否 插 紧 , 是 否 正常 连接 。 

(c) 检查 插 线 板 或 者 插座 是 否 已 经 通电 ,可 接 上 其 他 电器 设备 测试 验证 。 

(d) 检查 插 线 板 或 者 插座 与 终端 电源 适配器 接触 是 否 良好 。 

(e) 更 换 一 个 相同 型 号 的 终端 电源 适配器 观察 是 否 正常 。 

@ 检查 终端 Diag 灯 状 态 。 

(a) 终端 上 电 后 ,Diag 灯 正 常情 况 下 处 于 熄灭 状态 。 

(b) 如 果 亮 一 会 后 自动 熄灭 ,说 明 系 统 正在 自 检 、 软 件 正 在 自动 更 新 或 者 Cable 链 路 正在 
自 检 , 属 于 正常 情况 。 

(c) 如 果 一 直 常 亮 或 者 闪烁 , 均 表示 终端 故障 ,建议 更 换 终端 观察 。 

© 检查 终端 Cable 灯 状 态 。 

(a) 终端 的 Cable 灯 正 常情 况 下 处 于 常 亮 状态 。 

(b) 如 果 是 一 亮 一 灭 交替 闪烁 ,表示 终端 正在 与 头 端 建立 连接 。 

(c) 如 果 常 亮 则 表示 终端 与 头 端 之 间 链 路 已 正常 建立 ,需要 查看 头 端 软件 配置 是 否 正确 。 

(d) 如 果 不 亮 则 说 明 Cable 链 路 未 建立 连接 ,可 能 是 线路 不 通 \、 链 路 衰减 过 大 或 终端 未 被 
授权 。 

(3) 检查 头 端 配置 

检查 头 端 视频 业务 配置 是 否 正确 , 头 端 业务 模式 有 802. 1Q 和 透 传 模式 两 种 。 
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透 传 模式 下 ,需要 重点 排查 终端 下 发 模版 的 配置 ; 802. 1Q 模式 下 , 需 重 点 检查 视频 业务 
VLAN 设置 。 建 议 可 以 与 业务 运行 正常 的 头 端 配置 进行 比较 。 

O 检查 头 端 配置 的 VLAN 模式 。 设 置 方法 : 登录 头 端 Web 管理 页 面 ，“ 页 面向 导 一 
VLAN 管理 ”进行 设置 。 

VLAN 模式 中 802. 1Q 和 透 传 模式 互 斥 ; 如 果 VLAN 设置 为 802. 1Q 模式 要 注意 是 否 创 
建 有 终端 对 应 的 业务 VLAN ID, 如 图 10-4 所 示 。 


802.1Q VLAN Trunko Hybridi o VLAN fÈ 


VLAN 透 传 设置 


使 能 VLAN 透 传 功能 开启 + 

= HORAN 
GEI1 UnTag v 
GE2 UnTag ~ 


10-4 头 端 配置 的 VLAN 模式 


@ 检查 终端 视频 业务 模板 。 设 置 方法 : 登录 头 端 Web 管理 页 面 ,“Cable 管理 ”模板 
管理 ”一 单 击 “新 建 ?按钮 。 

业务 VLAN 必须 成 功 的 下 发 到 终端 的 一 个 或 几 个 端口 ,检查 模板 VLAN 配置 情况 。 

另外 ,还 需要 关注 IP TV 等 视频 业务 端口 需要 关闭 限 速 。 因 为 EoC 采取 突 发 的 方式 发 送 
数据 ,不 建议 对 IP TV 的 端口 进行 限 速 。 

例如 : 如 图 10-5 所 示 ,Cable 端口 不 限 速 ,Ethernetl 为 IP TV 视频 端口 不 限 速 ,VLAN 
ID 设置 为 1069。 


maah: 多 业务 PSPY 模 板 (1~15 个 字符 ) 


模板 描述， | (o~63 人 字符 ) 


MEF: 0 kbps| 
TES: 0 kbps 
MAC 设 置 


MAC 地 址 个 数 限 制 :| 0 M (0 代表 不 限制 ,FF 代表 禁止 所 有 MAC 接 入 ) 


广播 风 暴 抑制 


ranee: [FR E] 
| 入 端口 限 连 | 出 端口 限 连 | 端口 状态 


an f ar at] ean 

Ethemet1 [60M v | [80m w] | o m | pe s| [282 w ne e 国 | 
Ethernet2 | Bë || [eva =] | [5 s| | [FE 国 m 国 |[2mns e 国 
Ethemet3 [Epa m| eba <| | [5 | | [E v| m Meo e s 


802.1Q VLANIB 能 : | 关闭 E] 


(0~16384 只 能 为 54 的 倍数 ,0 代表 不 限 速 ] 
(0~16384 只 能 为 64 的 倍数 ,0 代表 不 限 连 ) 


| A | vst | 
Cable Tag 1 | 
Ethernet1 Untag | 1096 | 
Ethernet2 Untag 国 | 649 | 
Ethernet3 nta E] 526 | 


Æ 10-5 IP TV 等 视频 业务 端口 限 速 设置 
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(4) 检查 数据 连通 性 

IP QAM 的 点 播 上 行 回 传 数据 流量 ,IP TV 的 上 行 点 播 数 据 `. 下行 电视 节目 流量 , 均 由 
EoC 网 络 传输 ,如 果 EoC 网 络 无 法 通信 或 连接 出 现 问题 ,IP QAM 表现 为 点 播 页 面 无 反应 或 
点 播 节目 报错 ,IP TV 除 以 上 情况 外 ,还 会 出 现 画 面 卡 顿 和 马赛 克 。 此 时 需要 保障 EoC 网 络 
数据 连通 性 正常 ,通常 可 采用 以 下 手段 判断 。 

O IP QAMI.IP TV 的 系统 上 查看 该 点 播 用 户 机 顶 盒 是 否 在 线 正 常 连 接 。 

@ 在 头 端 以 太 网 口 处 接 一 台 FTP Server, 在 终端 处 接 PC ,在 出 现 互动 点 播 异 常 问题 时 进 
行 下 载 测试 ,FTP 如 果 未 达到 限 速 值 , 则 可 能 为 线路 带宽 不 够 ,需要 下 移 头 端 或 减少 头 端 下 终 
端 用 户 量 。 

@ 如 果 故 障 现象 随机 ,难以 复 现 , 则 可 致电 呼叫 中 心 获取 《EPCN 终端 管理 头 端 操作 配 
置 》, 通 过 在 终端 处 接 PC 长 时 间 ping 头 端 管理 地 址 ,检查 EoC 网 络 是 否 稳定 。 

(5) 检查 模拟 /数字 电视 信号 强度 

电视 播放 异常 为 模拟 /数字 电视 直播 信号 ,需要 使 用 场 强 仪 检 查 模 拟 / 数 字 电视 信号 强度 
是 否 正常 ,判断 方法 如 下 。 

Q 出 现 故障 的 电视 节目 为 模拟 电视 信号 ,需要 检查 模拟 信号 强度 是 否 大 于 电视 的 最 低 接 
收 门 限 ,一 般 来 说 模拟 电视 最 低 接收 电 平 56dBuV ,模拟 电视 信号 入 户 标准 按照 大 于 69dBuV + 
3dB 设计 。 

© 出 现 故障 的 电视 节目 为 数字 电视 信号 ,需要 检查 数字 信号 强度 是 否 大 于 机 项 盒 的 最 低 
接收 门限 ,数字 电视 信号 入 户 接收 电 平 需 大 于 58dBuV 士 4dB。 

(6) 排查 同 轴 网 络 衰减 

在 电视 接收 侧 使 用 场 强 仪 ,测试 的 电视 信号 强度 小 于 最 低 接 收 电 平 ,或 者 测量 电 平 值 远 低 
于 理论 的 接收 电 平 ,需要 排查 同 轴 网 络 的 衰减 问题 。 

O 在 出 现 异常 的 电视 或 机 项 盒 处 ,使 用 场 强 仪 测试 电视 信号 强度 ,电视 信号 电 平 小 于 最 
低 接收 电 平 ,并 且 线 路 上 实测 与 理论 计算 的 衰减 相差 不 大 , 则 需要 调整 线路 ,可 采用 如 下 操作 。 

(a) 适当 减少 线路 上 分 支 分 配器 个 数 ,减少 分 支 分 配器 衰减 。 

(b) 调整 Cable 同 轴线 缆 长 度 , 减 少 线路 衰减 。 

(c) 增强 电视 信号 源 电 平 ,调整 光 发 射 机 电 平 。 

(d) 将 光 发 射 机 位 置 下 移 , 缩 短信 号 源 和 终端 用 户 距离 。 

© 在 出 现 异 常 的 电视 或 机 顶 盒 处 ,使 用 场 强 仪 测试 电视 信号 强度 ,电视 信号 电 平 小 于 最 
低 接收 电 平 ,并 且 线 路 上 实际 测试 衰减 远大 于 理论 计算 的 衰减 , 则 需要 从 下 往 上 ,分 段 排查 线 
路 ,可 采用 如 下 操作 。 

(a) 按照 入 户 分 支 分 配 节点 、 楼 道 分 支 分 配 节点 、 光 机 节点 ,从 下 往 上 分 段 测 量 电 平 ,分 段 
排查 实测 衰减 与 理论 值 是 否 有 差异 。 

(b) 重点 排查 线路 上 老化 和 松动 的 接头 ,野外 的 分 支 分 配器 件 和 用 户 家 中 的 分 支 分 配 
器 件 。 

(c) 分 段 更 换 同 轴 线 缆 或 新 铺设 线 绕 跳 过 衰减 异常 的 线路 。 

(7) 排查 受 影响 电视 频率 范围 

确认 受 影 响 的 电视 频段 范围 ,可 通过 场 强 仪 或 频谱 分 析 仪 接 驳 高 通 滤波 器 在 受 影响 节点 
进行 测试 。 根 据 直 播 电 视频 段 划 分 ,可 将 受 影响 电视 范围 分 为 以 下 几 种 类 型 。 

O 低频 段 (50 一 80MHz 频段 范围 ) 模 拟 电 视 信 号 受到 干扰 ,其 他 频段 电视 节目 不 受 干 扰 。 
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其 原因 未 按照 国标 GY/T 106 一 1999%( 有 线 电视 广播 系统 技术 规范 》 标 准 使 用 电视 频段 , 需 将 
低频 段 电视 节目 移 至 110MHz 以 上 。 

@ 特定 频段 电视 信号 干扰 ,其 受 干扰 的 节目 在 某 个 特定 频段 ,一 般 为 有 源 设备 引入 ,可 能 
是 机 顶 盒 .线路 异常 串扰 进入 的 电磁 干扰 (电瓶 车 充电 器 ) .异常 的 EoC 设备 等 。 排 查 方法 可 
以 在 出 现 干 扰 的 频 点 使 用 频谱 分 析 仪 ,并 将 线路 上 和 线路 周边 有 源 设备 依次 下 电 查 找 干扰 源 。 

@ 全 频段 干扰 ,直播 电视 节目 全 部 频道 受到 干扰 ,表现 为 全 部 数字 电视 出 现 马 赛 克 ,模拟 
电视 出 现 雪花 干扰 , 场 强 仪 测试 节目 误 码 率 高 。 此 情况 一 般 为 线路 信号 质量 较 好 ,EoC 信号 
较 强 ,而 终端 机 顶 盒 或 电视 没有 内 置 高 通 滤波 器 或 滤波 器 件 过 滤 信 号 不 够 造成 ,需要 增加 EoC 
信号 衰减 或 过 滤 EoC 信号。 

(8) 调整 EoC 信号 强度 

受 影响 电视 为 全 频段 干扰 ,下 电 EoC 头 端 设备 后 即 可 恢复 ,一 般 情况 为 EoC 信号 质量 较 
强 , 而 终端 机 顶 盒 或 电视 没有 内 置 高 通 滤波 器 或 滤波 器 件 过 滤 信 号 不 够 造成 ,一 般 可 以 采取 以 
下 方式 调整 解决 。 

O 在 出 现 问题 的 机 顶 盒 或 电视 处 增加 高 通 滤波 器 ,过 滤 EoC 信号 ,如 图 10-6 所 示 。 


| om 低 通 分 路 器 


光 节 点 位 置 
= 一 一同 轴 电 缆 
一 一 以 大 网 线 
光纤 


图 10-6 调整 EoC 信号 强度 


@ 调整 EoC 头 端 输出 功率 ,建议 调整 范围 为 5~10dB。 登 录 Web 页 面 ,“ 页 面向 导 ; 
Cable 管理 ~ 功率 调整 ,如 图 10-7 所 示 。 如 果 该 头 端 Web 页 面 没有 “功率 调整 "菜单 ,请 联系 
呼叫 中 心 处 理 。 


网 络 拓扑 — 邬 定 用 户 管理 匿名 用 户 管理 模板 管理 自动 升级 — SNID 设 置 — 环 路 检测 


工作 频段 (MHz) MAEHE (dB) HAEE (dB) 


Cable1 1.5-65 + . 不 调整 ”~ 
Cable2 1.565 ~ 不 调整 ”~ Ei Q 


注意 : 修改 成 功 后 , 需要 保存 设备 配置 ， 否 则 设备 重启 后 将 不 能 读 出 真实 的 功率 调节 值 。 


图 10-7 EoC 头 端 输出 功率 调整 


10.2.2 EoC 头 端 无 法 管理 
故障 排查 


答 查 是 否 能 pnG 


fy 5 ë yË pc) 
kk Mplp69 s] sÉ |ü 
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10 EPON_EoC 产品 > oe S ba 8 步骤 详解 


1. 开始 

EPCN 是 H3C 针对 广电 接 入 网 双向 改造 推出 的 技术 ,是 低频 EoC 技术 的 一 种 ,通过 广播 
电视 同 轴 网 共 缆 传输 电视 信号 和 EoC 数据 信号 。EoC 头 端 的 管理 方式 包括 Console 口 、 
Web, Telnet, SNMP 等 ,Console 口 无 法 管理 问题 ,大 多 与 硬件 故障 有 关 , 可 替换 设备 观察 ; 其 
他 管理 方式 问题 ,定位 故障 的 思路 是 : 首先 确认 管理 PC 与 头 端 之 间 的 连通 性 ,然后 再 根据 管 
理 类 型 检查 相关 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 是 否 能 ping 通 头 端 管 理 IP 

打开 管理 PC 的 命令 提示 符 窗口 ,ping 头 端的 管理 IP 地 址 (默认 地 址 为 192. 168. 0. 241)， 
确认 是 否 能 正常 ping 通 。 

例如 : 管理 PC ping 头 端 管理 地 址 192. 168. 0. 241 正常 无 丢 包 。 


C:N> ping 192.168.0.241 


正在 ping 192.168.0.241 具有 32 字 节 的 数据 : 

来 自 192.168.0.241 的 回复 : 字 节 王 32 时 间 王 16ms TTL=64 
来 自 192.168.0.241 的 回复 : 字 节 一 32 时 间 二 lms TTL=64 
来 自 192.168.0.241 的 回复 : 字 节 一 32 BFlB]<<1ms TTL=64 
来 自 192.168.0.241 的 回复 : 字 节 王 32 时 间 一 lms TTL=64 


192.168.0 .241 的 ping 统计 信息 : 

数据 包 : 已 发 送 = 4, 已 接收 一 4, 丢 失 一 0 OER), 
往返 行程 的 估计 时 间 ( 以 毫秒 为 单位 ): 

最 短 二 0ms, 最 长 二 16ms, 平 均 = 4ms 


(2) 检查 头 端 管 理 接口 配置 

D 检查 头 端 管理 VLAN 是 否 配 置 正确 。 

通过 Console 口 登录 头 端 设备 ,查看 头 端 管理 VLAN 是 否 与 规划 一 致 。 
MA: display current-configuration 


例如 : 通过 命令 查看 ,可 以 确认 头 端的 管理 VLAN 为 99。 


<H3C>display current-configuration 
# 
version104 
# 
sysname H3C 
# 
management-vlan 99 


# 


@ 检查 头 端 IP 地 址 是 否 配置 正确 。 
通过 Console 口 登录 头 端 设 备 ,查看 头 端 管理 VLAN 接口 下 的 IP 地 址 、 子 网 掩 码 、 网 关 
也 址 配置 是 否 正确 。 
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命令 : display inter face vlan-inter face vlanid 
例如 : 通过 命令 查看 ,可 以 确认 头 端 99 管理 VLAN 接口 IP 地 址 为 192. 168. 0. 241, 子 网 
掩 码 为 255. 255. 255. 0, 网 关 地 址 为 192. 168. 0. 1( 默 认 情 况 下 网 关 没 有 指定 ) 。 


<H3C>display interface vlan-interface 99 
Vlan-interface99 current state: Up 

Line protocol current state: Up 

Hardware address is 5866-baf4-3878 
Internet address is 192.168.0.241/24 
Gateway address is 192.168.0.1 

The Maximum Transmit Unit is 1500 
Description : Vlan-Interface99 Interface 


O 远程 管理 情况 下 ,检查 头 端 级 联 端口 VLAN 配置 。 

如 果 头 端 上 行 采 用 以 太 网 口 级 联 , 通 过 Console 口 登录 头 端 设备 ,查看 头 端 级 联 以 太 网 端 
口 的 VLAN 配置 是 否 已 经 允许 管理 VLAN 通过 了 。 

MS: display current-con figuration 

例如 : 通过 命令 查看 ,可 以 确认 头 端的 以 太 网 端口 处 于 VLAN 透 传 模式 下 的 
Transparent 模式 ,管理 VLAN 报 文 可 以 带 标签 正常 转发 。 


<H3C>display current-configuration 
# 
interface GigabitEthernet1/1/1 


port vlantransmode untag 
port access vlan 99 


# 
interface GigabitEthernet1/1/2 
port vlantransmode transparent 


# 


或 者 可 以 确认 头 端 工作 在 802. 1Q 模式 下 的 以 太 网 端口 已 经 允许 管理 VLAN 带 标签 通 
过 了 。 


<H3C>display current-configuration 
# 
interface GigabitEthernet1/1/1 


port access vlan 99 


# 
interface GigabitEthernet1/1/2 

port link-type trunk 

port trunk permit vlan 1 99 1001 2011 
# 


如 果 头 端 上 行 采用 PON 口 级 联 ,还 需要 登录 OLT 设备 ,查看 头 端 ONU 端口 的 VLAN 
配置 是 否 已 经 配置 为 Trunk 模式 了 。 

例如 : 通过 命令 查看 ,可 以 确认 头 端 ONU 端口 已 经 配置 为 Trunk 模式 了 ,管理 VLAN 
报 文 可 以 带 标签 正常 转发 。 
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[H3C-Onu2/0/1:1]display this 
# 


interface onu2/0/1:1 
descriptionLantianxiaoqu 3 # 2-Danyuan 
bind onuid 000f-e26f-a230 

upstream-sla maximum-bandwidth 16000 
port link-type trunk 


@ 本 地 管理 情况 下 ,检查 头 端 本 地 连接 PC 的 以 太 网 端口 配置 。 

如 果 头 端 上 行 采 用 以 太 网 口 级 联 , 通 过 Console 口 登录 头 端 设 备 , 查 看 头 端 以 太 网 端口 的 
VLAN 配置 是 否 正确 。 

命令 : display current-con figuration 


例如 : 通过 命令 查看 ,可 以 确认 头 端的 以 太 网 端口 处 于 VLAN 透 传 模式 下 的 Untag 模式 。 


< H3C>-4isplay current-configuration 
# 
interface GigabitEthernet1/1/1 


port vlantransmode untag 
port access vlan 99 


# 
interface GigabitEthernet1/1/2 
port vlantransmode transparent 


或 者 可 以 确认 头 端 工作 在 802. 1Q 模式 下 的 以 太 网 端口 已 经 允许 管理 VLAN 不 带 标签 
通过 了 。 


<H3C>display current-configuration 


# 
interface GigabitEthernet1/1/1 
port access vlan 99 
# 
interface GigabitEthernet1/1/2 
port link-type trunk 
port trunk permit vlan 1 99 1001 2011... 


(3) 检查 管理 PC 与 头 端 IP 地 址 可 达 性 

O 检查 管理 PC 的 IP 地 址 、 子 网 掩 码 、 网 关 配 置 情况 。 

通过 管理 PC 的 命令 提示 符 窗 口 查 看 本 地 网 卡 的 IP 地 址 、. 子 网 掩 码 配 置 与 头 端 管理 IP 
是 否 属于 相同 网 段 。 

例如 : 打开 管理 PC 的 命令 提示 符 窗口 .输入 “ipconfig /all” 显 示 以 太 网 适配器 本 地 连接 
中 的 IP 地 址 为 192. 168. 0. 12 , 掩 码 为 255. 255. 255. 0。 


C:\>ipconfig /all 
以 太 网 适配器 ”本 地 连接 : 


连接 特定 的 DNS 后 级 . . . . . . . : 
Ni SDS, S t Saa. mai : Intel(R) 82579LM Gigabit Network Connecti 
on 


Cb: hh s n min bas : A0-B3-CC-23-AA-D0 
: 否 
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B3NORE HM 25 y 2 2 08 

TVA : 192.168.0.12( 首 选 ) 
FER. eaaa ae o e y 255255: 255:0 
WR e s bs au : 

TCPIP 上 的 NetBIOS ...... : 已 启用 


如 果 管 理 PC 跨 网 段 访 问 头 端 , 则 还 需要 检查 管理 PC 和 头 端的 网 关 地 址 配置 正确 性 。 
例如 : 打开 管理 PC 的 命令 提示 符 窗口 .输入 “ipconfig /all” 显 示 以 太 网 适配器 本 地 连接 
中 的 IP 地 址 为 192. 168. 9. 12 ,网 关 地 址 为 192. 168. 9. 1 。 


C:\>ipconfig /all 
以 太 网 适配器 ”本 地 连接 : 
连接 特定 的 DNS 后缀. . . . . . . : 
E S ASA AA yapa aa : Intel(R) 82579LM Gigabit Network Connecti 
on 
ok: Bu D Sa Pease s Pan 2, : A0-B3-CC-23-AA-D0 
DHCP 已 启用 aonan : 否 
自动 配置 已 官 用 P03. ;是 
Tes gap... r : 192.168.9.12( 首 选 ) 
FARR TIERE E : 255.255.255.0 
PURA e a a e e 258 1922168.921 
TOPP ER Io sa : 已 启用 


@ 检查 头 端 本 地 或 上 连 端口 的 工作 状态 。 

通过 Console 口 登录 头 端 设备 ,查看 头 端 本 地 或 上 连 端口 是 否 Up, 协 商 是 否 正确 ,对 于 采 
用 PON 口上 连 的 头 端 ,可 以 登录 OLT 查看 ONU 口 的 状态 。 

MA: display inter face 

例如 : 通过 命令 查看 ,可 以 确认 头 端 本 地 或 上 连 以 太 网 端口 处 于 Up, 且 工作 在 1000M/ 
FULL 状态 。 


<H3C>display interface GigabitEthernet 1/1/1 

GigabitEthernet1/1/1 current state: Up 

IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0023-89cc-712e 
Media type is twisted pair 

Port hardware type is 1000_BASE_T 

1000Mbps-speed mode, full-duplex mode 

Link speed type is autonegotiation, link duplex type is autonegotiation 


如 果 头 端 采 用 PON 口上 连 , 需 确认 ONU 口 处 于 Up 状态 。 


<H3C>display interface Onu2/0/1:1 

Onu2/0/1:1 current state: Up 
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: c4ca-d9e0-0e68 
Description: Onu2/0/1:1 Interface 
The Maximum Frame Length is 1600 


© 检查 PC 与 头 端的 ARP 学 习 情 况 。 
打开 管理 PC 的 命令 提示 符 窗口 ,使 用 “arp -a” 命 令 查 看 管理 PC 的 ARP 学 习 情 况 。 
例如 : 如 果 管 理 PC 与 头 端 IP 在 相同 网 段 ,在 管理 PC 上 查看 ARP, 已 经 正确 学 习 到 了 头 
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端的 管理 IP 对 应 的 ARP。 


C:\>arp -a 


接口 : 192.168.0.12 --- 0xld 
Internet 地 址 物理 地 址 类 型 
192.168.0 .241 00-23-89-cc-71-2e 动态 


再 查看 头 端的 ARP 表 项 ,在 管理 VLAN 中 学 习 到 了 管理 PC 的 ARP, 


<H3C>display arp 

IP Address MAC Address VLAN ID Aging 
192.168.0.12 a0b3-cc23-aad0 99 16 
--- 1 entry(ies) found --- 


如 果 管 理 PC 与 头 端 IP 不 在 相同 网 段 ,在 管理 PC 上 查看 ARP, 已 经 学 习 到 了 网 关 地 址 
对 应 的 ARP。 


C:\>arp -a 

接口 : 192.168.9.12 --- 0xld 
Internet 地 址 物理 地 址 类 型 
192.168.9.1 c4-ca-d9-e0-17-e2 动态 


再 查看 头 端的 ARP 表 项 ,在 管理 VLAN 中 学 习 到 了 网 关 地 址 对 应 的 ARP, 


<H3C>display arp 

IP Address MAC Address VLAN ID Aging 
192.168.0.1 c4ca-d9e0-0e68 99 16 
--- 1 entry(ies) found --- 


(4) Web 无 法 管理 

打开 浏览 器 ,在 地 址 栏 里 输入 头 端 的 管理 地 址 ,打开 设备 管理 页 面 ,确认 是 否 为 无 法 打开 
设备 管理 或 打开 后 无 法 登录 Web 界面 操作 。 

(5) 检查 浏览 器 设置 

O 检查 IE 浏览 器 是 否 设置 了 代理 。 

在 浏览 器 窗口 中 , 单 击 * 工 具 ” 按 钮 一 单 击 
“Internet 选项 ”命令 ,在 弹出 的 窗口 中 选择 “ 连 
接 ” 选 项 卡 ,并 单 击 * 局 域 网 LAN) 设 置 "按钮 , 进 | Cam o 


自动 配置 
T ie a 要 确保 使 用 手动 设置 ， 请 禁用 自动 配 


和 如 图 10-8 所 示 页 面 ,确认 取消 选中 “为 LAN et 一 一 一 一 一 一 

使 用 代理 服务 器 " 复 选 框 ; 车 已 选中 ,请 取消 选中 

并 单 击 “ 确 定 ” 按 钮 。 WE z goo EC [ERD ) 
O 更换 浏览 器 或 者 使 用 另 一 台 管 理 PC 上 Danetan o 


的 浏览 器 访问 头 端的 Web 管理 页 面 。 E =s 
@ 登录 管理 页 面 输入 密码 时 ,请 确认 大 写 是 waw = 

否 锁定 ; 如 忘记 密码 ,可 单 击 登 录 页 面 的 “忘记 密 ，| EPR D 

码 "按钮 按照 提示 恢复 ,如 图 10-9 所 示 。 
(6) Telnet 无 法 管理 
在 PC 系统 中 的 “开始 "= “运行 "中 输入 图 10.8 浏览 器 设置 
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ü u CC712E ] 
mPa Í 
H3C =s EB | 
CE) J 
推荐 分 状 车 1024*768 


10-9 管理 页 面 


CMD 命令 ,打开 命令 提示 符 , 或 通过 专用 的 终端 软件 (例如 CRT 等 ), Telnet 头 端的 管理 地 
址 ,确认 是 否 能 正常 登录 头 端 。 

(7) 检查 Telnet 相关 配置 

通过 Console 口 登录 头 端 设备 ,查看 头 端 Telnet 相关 配置 。 

MA: display current-con figuration 

例如 : 通过 命令 查看 ,可 以 确认 头 端 Telnet Server 已 开启 (默认 配置 不 显示 , Telnet 
Server 关闭 才 会 显示 ) ,用 户 接口 VTY0 下 配置 了 认证 模式 和 认证 密码 。 


[H3C]telnet server enable 
Info: Telnet server has been started! 
[H3C] display current-configuration 


user-interface vty 0 
set authentication password simple admin 
user-interface vty 1 


(8) SNMP 网 管 无 法 管理 

通过 SNMP 网 管 软件 (例如 IMC 等 ) 按 照 配置 的 SNMP 参数 连接 头 端的 管理 地 址 ,确认 
是 否 可 以 正常 连接 。 

(9) 检查 SNMP 相关 配置 

通过 Console 口 登录 头 端 设备 ,查看 头 端 Telnet 相关 配置 。 

命令 : display current-con figuration 

例如 : 通过 命令 查看 ,可 以 确认 头 端 SNMP 已 经 开启 , 读 写 团体 名 为 Public/Private， 
SNMP 版 本 号 为 V2C,Trap 已 经 开启 并 指定 了 192. 168. 100. 10 为 发 送 主机 地 址 。 


[H3C] display current-configuration 

# 

snmp-agent 

snmp-agent local-engineid 800063A24567002389CC712E 

snmp-agent community read public 

snmp-agent community write private 

snmp-agent sys-info version v2c 

snmp-agent trap enable 

snmp-agent target-host trap address udp-domain 192.168.100.10 permit params securityname publici 
v2c event all permit 


# 


— 表 元 上 一 步 结果 正 党 


= 一 = 人 表示 上 一 步 结果 出 现 问题 


FRAIR S 
400-310-0504 
EDE 3⁄ 
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1. 开始 

EPCN 是 H3C 针对 广电 接 入 网 双向 改造 推出 的 技术 ,是 低频 EoC 技术 的 一 种 ,通过 广播 
电视 同 轴 网 共 缆 传输 电视 信号 和 EoC 数据 信号 。 基 于 广电 EoC 技术 的 网 络 , 上 网 通常 采用 
PPPoE 拨号 方式 ,上 网 异常 问题 一 般 可 分 为 上 网 不 通 和 上 网 慢 两 类 ,定位 故障 的 思路 是 : 首 
先 将 测试 PC 直 连 EoC 头 端 设备 上 连 的 ONU, Æ ONU 的 以 太 网 口上 配置 正确 的 上 网 业务 
VLAN 信息 ,观察 此 时 测试 PC 拨号 上 网 是 否 正 常 ,确认 EoC 上 层 网 络 不 存在 问题 ,然后 再 根 
据 EoC 网 络 引起 的 上 网 异常 类 型 来 排查 ; 上 网 不 通 故 障 可 先 检 查 头 端 配置 ,再 检查 链 路 连通 性 ; 
上 网 慢 故 障 可 先 检 查 Cable 网 络 下 行 是 否 存在 大 流量 广播 报 文 , 然 后 检查 Cable 线路 噪声 问题 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 PC 直 连 ONU 是 否 正 常 

测试 PC 直 连 EoC 头 端 上 连 ONU 空闲 的 以 太 网 口 ,将 该 端口 配置 为 Tag 模式 的 上 网 业 
务 VLAN ,观察 此 时 测试 PC 采用 客户 账号 或 测试 账号 拨号 上 网 是 否 正 常 。 

D 如 果 此 时 测试 PC 上 网 依旧 存在 问题 ,建议 排查 EoC 上 层 网 络 问题 。 

@ 如 果 此 时 测试 PC 上 网 一 直 正 常 ,而 客户 处 上 网 依旧 存在 问题 ,需要 进一步 排查 EoC 
网 络 。 

(2) 检查 EoC 上 层 网 络 

EoC 上 层 网 络 建议 排查 以 下 内 容 。 

O 检查 上 层 网 络 ( 如 EPON 网 络 等 ) 的 配置 是 否 正确 。 

@ 检查 端口 隔离 是 否 已 经 开启 。 

O 检查 广播 域 是 否 过 大 。 

@ 检查 上 层 链 路 延迟 是 否 正常 。 

O 检查 拨号 服务 器 是 否 正常 。 

@ 检查 带宽 是 否 足够 等 。 

(3) 检查 是 否 上 网 不 通 

确认 客户 PC 拨号 是 否 连接 不 上 。 

(4) 检查 终端 指示 灯 状 态 

D 检查 终端 Power 灯 状 态 。 

(a) 终端 的 Power 灯 正 常情 况 下 处 于 常 亮 状 态 .如果 不 是 说 明 电源 适配器 输出 问题 或 者 
终端 故障 。 

(b) 检查 终端 电源 接口 是 否 插 紧 , 是 否 正常 连接 。 

(c) 检查 插 线 板 或 者 插座 是 否 已 经 通电 ,可 接 上 其 他 电器 设备 测试 验证 。 

(d) 检查 插 线 板 或 者 插座 与 终端 电源 适配器 接触 是 否 良好 。 

(e) 更 换 一 个 相同 型 号 的 终端 电源 适配器 观察 是 否 正 常 。 

© 检查 终端 Diag 灯 状 态 。 

(a) 终端 上 电 后 ,Diag 灯 正 常情 况 下 处 于 熄灭 状态 。 

(b) 如 果 亮 一 会 后 自动 熄灭 ,说 明 系 统 正在 自 检 、 软 件 正 在 自动 更 新 或 者 Cable 链 路 正在 
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自 检 , 属 于 正常 情况 。 
(c) 如 果 一 直 常 亮 或 者 闪烁 , 均 表示 终端 故障 ,建议 更 换 终端 观察 。 
@ 检查 终端 Cable 灯 状 态 。 
(a) 终端 的 Cable 灯 正 常情 况 下 处 于 常 亮 状 态 。 
(b) 如 果 是 一 亮 一 灭 交 蔡 闪 烁 ,表示 终端 正在 与 头 端 建立 连接 。 
CO 如 果 常 亮 则 表示 终端 与 头 端 之 间 链 路 已 正常 建立 ,需要 查看 头 端 软件 配置 是 否 正 确 。 


(d) 如 果 不 亮 则 说 明 Cable 链 路 未 建立 连接 ,可 能 是 线路 不 通 、 链 路 衰减 过 大 或 终端 未 被 
授权 。 


(5) 检查 头 端 配置 
O 检查 头 端 VLAN 配置 。 
进入 头 端 设备 Web 管理 界面 “VLAN 管理 ”>“VLAN 透 传 ", 检 查 当 前 VLAN 透 传 功 


能 处 于 开启 还 是 关闭 状态 ; 如 果 VLAN 透 传 功 能 开启 ,检查 头 端 用 于 级 联 的 上 行 以 太 网 端口 
出 口 报 文 类 型 是 否 为 透 传 模式 ,如 图 10-10 所 示 。 


802.1Q VLAN Trunk O Hybrid O VLAN 透 传 


VLAN 透 传 设置 
使 能 VLAN 舟 传 功能 Fe ~ 


| | 出 口 报 文 类 型 
GE1 Untag v 
注意 : WRVLANIE EHIE, 152824802.1Q VLAN 进 行 配置 操作 。 


10-10 头 端 配置 检查 


如 果 VLAN 透 传 功能 关闭 ,如 图 10-11 所 示 , 说 明 当 前 VLAN 模式 处 于 802. 1Q VLAN 
模式 ,检查 头 端 是 否 已 经 创建 了 上 网 业务 的 VLAN ID, 如 图 10-12 所 示 , 头 端 用 于 级 联 的 上 行 
以 太 网 端口 是 否 已 经 配置 为 Trunk 端口 并 允许 上 网 业务 VLAN 通过 了 ,如 图 10-13 所 示 。 


VLAN fÈ 


VLAN 透 传 设置 


峡 能 VLAN 适 传 功 能 关闭 | > 


注意 : 使 能 VLAN 透 传 功能 后 ， 交 不 能 对 802.1Q VLAN 进 行 配置 操作 。 


Æ 10-11 VLAN 透 传 功能 关闭 
@ 检查 终端 VLAN 配置 。 
进入 头 端 设 备 Web 管理 界面 >“Cable 管理 ”网 络 拓扑 ”, 单 击 该 上 网 不 通用 户 终 端的 
“用 户 名 ? 超 链 接 进 入 终端 用 户 管理 页 面 “ 模 板 选择 ?配置 项 中 选择 “无 模板 "下 拉 列 表 框 ,检查 


终端 接 PC 的 以 太 网 2 口 的 速率 、 双 工 模式 是 否 为 自 协商 ,端口 是 否 开 启 , 是 否 正确 配置 了 上 
网 业务 的 VLAN, 如 图 10-14 所 示 。 
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802.1Q VLAN 
VLAN 查 询 


说 明 : VLAN ID 和 描述 至 少 需要 输入 一 项 ，VLAN 指 述 支 持 模糊 查 词 ， 不 区 分 大 小 瑟 。 
VLAN ID (1~4094) | 
VLAN 握 述 (0~32 字 符 ) cm n 


EEUU 
o š Default Cable1-Cable2 we) 


99 Manage Cable1-Cable2,GE1 WR) 
Cable1-Cable2,GE2 


VLAN f$ 


802.1Q VLAN Hybridi VLAN fe 
端口 PVID 
回 Cablel 1 WR 
Cable? 1 W 
GE2 1 601,1101 WR 


10-13 Trunk 端口 配置 


| 网 络 拓扑 铸 定 用 户 管理 匿名 用 户 管理 模板 管理 自动 升级 SNID 设 置 FARM 功率 调整 
网 络 拓扑 


单 击 用 户 名 进入 该 用 户 配 署 页面， 在 该 页 面 中 对 设备 配置 进行 设置 。 


Cable 庙 口 Cablal ~ 
查询 选项 MMC 地 址 | ~ 
MAC 地 址 类 型 


1 Cablel 0023-89CC-7540 集中 器 V100R001 v 
2 Cablel 5866-BAF3-82E0 CB303A V100R004 v <10 307 


模板 选择 

EEE 

Hiss O kops (0216384 RRASA ORTE) 
下 行 速率 O kops (0216384 只 能 为 64 的 信 数 ，0 代 表 不 限 训 ) 
MAC 地 址 个 娄 限 制 OT ~ 个 (0 代表 不 限制 ,FF 代表 琴 止 所 有 MAC 接 入 ) 

广播 风暴 抑制 

广播 风量 抱 伸 中 能 FA ~ 


TRET ~ 


Ethernet1 Sba ~ COLEN ~ ë Fe~- TRE ~ 


开启 ~ 
Ethemet2 bM ~ 自 协商 ~ o~- Fe~ TRE ~ ape ~ 开启 ~ 
Ethernet3 ÉE ~ 自 协 商 . |») 开启 ~ 
Ethemet4 [ÉE -] | [读本 -] [m +] Ë Hem -ma -E -J 
an mmm 
Cable L Tama; 
Ethernet1 Untag ~ 6 
Ethernet3 me 2201 


图 10-14 终端 VLAN 配置 
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(6) 检查 数据 连通 性 

D 检查 客户 PC 是 否 能 ping 通 网 关 地 址 。 

将 客户 PC 网 卡 配置 为 上 网 业务 VLAN 网 段 的 静态 IP 地 址 ,打开 PC 的 命令 提示 符 窗 
O ,ping 网 关 地 址 ,确认 是 否 能 正常 ping 通 。 

@ 检查 头 端 级 联 口 状 态 。 

如 果 头 端 上 行 是 以 太 网 口 级 联 , 进 入 头 端 设备 Web 管理 界面 “端口 管理 ”一 “端口 设 
置 ”, 查 看 头 端 上 行 以 太 网 口 “速率 / 双 工 ”是 否 处 于 AUTO/AUTO 状态 , 链 路 状态 是 否 正常 ， 
如 图 10-15 所 示 。 


ms 


Cable1 1000/FULL AUTO/AUTO 
Cable2 1000/FULL AUTO/AUTO 6 
GE1 1000/FULL AUTO/AUTO 0 关闭 开启 关闭 


10-15 头 端 上 行 以 太 网 口 “速率 / 双 工 ”状态 


如 果 头 端 上 行 是 PON 口 级 联 , 进 入 头 端 设备 Web 管理 界面 “系统 管理 ”>“PON 信息 ” 
(如 果 是 CC754, 需 要 进入 ONU 管理 页 面 查看 ) ,查看 头 端 上 行 PON 口 的 连接 状态 是 否 为 “已 
连接 ?或 者 “在 线 ? 状 态 , 光 接 收 功率 是 否 处 于 一 24dBm 到 一 8dBm 之 间 , 如 图 10-16 所 示 。 


系统 信息 PON 信 息 RERGRE 重启 动 软件 升级 


Æ 10-16 PON 状态 


@ 检查 终端 连接 PC 端口 的 连接 状态 。 
进入 头 端 设备 Web 管理 界面 >“Cable 管理 ”>“ 网 络 拓 扑 ”, 单 击 该 上 网 不 通用 户 终 端的 
“管理 ” 超 链接 进入 终端 设备 管理 页 面 ,选择 “端口 状态 ”页面 查看 终端 连接 PC 的 以 太 网 口 链 
接 状 态 和 工作 模式 是 否 正 常 , 如 图 10-17 所 示 。 
e 
1 Cablel 0023-89CC-7540 和 集中 器 V100R001 v > 
2 Cablel 5866-BAF3-82E0 CB303A V100R004 v <10 307 339 =N 


EEE ET rT Er 


Cable SR 28568 251702 
Ethernet1 Ed 0 0 
Ethernet2 y 100/ 全 双 工 6450 27580 
Ethernet3 x< s 0 0 


图 10-17 终端 连接 PC 端口 的 连接 状态 
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@ 检查 客户 PC 网 卡 状态 是 否 正常 ,PPPoE 拨号 软件 是 否 正常 。 

将 客户 PC 网 卡 尝试 禁用 启用 观察 ,PPPoE 拨号 连接 尝试 重新 创建 ,再 次 确认 拨号 用 户 名 
密码 输入 正确 ,观察 上 网 是 否 正常 ,此 部 分 还 可 尝试 蔡 换 不 同 PC 连接 观察 。 

(7) 检查 是 否 上 网 慢 

确认 客户 PC 打开 各 类 门户 网 站 是 否 比 正常 使 用 时 明显 缓慢 ,下 载 速度 是 否 很 低 。 

(8) 检查 宽带 问题 

通过 网 管 软 件 或 者 流量 监控 软件 监控 上 层 OLT 等 设备 的 接口 带宽 ,确认 流量 是 否 已 经 
接近 接口 带宽 值 或 设备 吞吐 量 , 如 果 出 现 此 情况 ,需要 通过 扩容 增加 带宽 。 

(9) 检查 Cable 网 络 下 行 广播 流量 

在 OLT 口 或 者 支持 镜像 的 头 端 以 太 网 口 镜像 抓 包 ( 镜 像 具 体 配置 参加 产品 手册 ) ,确认 
网 络 中 存在 如 下 两 种 现象 , 则 需要 特别 引起 注意 ,并 通过 优化 汇聚 设备 (如 OLT 等 ) 的 配置 和 
组 网 ,包括 端口 隔离 ,缩小 广播 域 ( 建 议 采 用 PSPUPYV 方式 组 网 ,每 OLT 一 个 管理 VLAN) 的 
方式 减少 网 络 中 的 广播 流量 。 

O 广播 流量 大 于 5Mbps WE. 

@ 存在 大 量 源 MAC 连续 的 广播 包 。 

(10) 检查 Cable 线路 噪声 

O 同 轴 网 检查 建议 。 

(a) 查看 广电 机 箱 内 ,各 设备 .分 支 器 、 分 配器 等 的 Cable 口 是 否 连接 紧密 ,是 否 存在 
Cable 接口 松动 ,屏蔽 层 和 内 芯 铜 线 是 否 有 搭 接 或 屏蔽 层 和 固定 头 是 否 未 接触 (这 样 就 起 不 到 
屏蔽 的 作用 ) ,建议 可 以 对 部 分 不 好 的 接头 重新 制作 。 另 外 , 光 机 、 头 端 \ 机 箱 等 必须 按 要 求 严 
格 接地 。 

(b) 同 轴 网 线路 必须 严格 按照 (H3C EPCN 工程 安装 指导 》 的 要 求 进行 工程 实施 ,如 存在 放 
大 器 , 则 需要 对 EoC 信号 覆盖 的 所 有 放大 器 使 用 低 通 旁 路 器 进行 跨 接 ,或 对 放大 器 内 部 做 改造 。 

(c) 入 户 线路 需 注 意 线路 是 否 存在 破损 ,是 否 和 多 根 电源 线 拥 绑 , 设 备 位 置 周边 是 否 摆 放 
有 高 功率 家 用 电器 等 ,都 会 产生 噪声 干扰 ,需要 重 做 线路 或 者 移 除 干扰 源 观 察 。 

@ 噪声 解决 建议 。 

增强 EoC 信号 强度 。 

(a) 光 节 点 下 移 ,通过 将 光 节 点 下 移 到 楼 道 , 减 少 野外 分 支 分 配 网 中 噪声 干扰 , 拉 近 头 端 
到 终端 的 距离 。 

(b) 增加 光 节 点 下 头 端 数 量 ,用 一 路 头 端 带 一 个 混合 器 ,提高 头 端 和 终端 接收 信号 强度 。 

(c) 尽量 采取 星 型 分 配 组 网 , 串 接 分 支 器 尽量 少 , 减 少 树 形 组 网 中 分 支 器 的 衰减 。 

(d) 减少 EoC 用 户 同 轴 分 配 网 中 分 支 分 配器 和 接头 的 数量 ,减少 EoC 信号 的 插入 损耗 。 

屏蔽 噪声 源 。 

(a) 运用 频谱 仪 场 强 仪 .手持 式 EPCN 测试 仪 等 .手持 我 司 终端 (电源 可 用 干电池 制作 出 
DC 9V 的 电源 ) 等 方式 分 段 排 查 ,找到 噪声 源 并 对 噪声 源 采用 高 通 滤波 器 过 滤 。 

(b) 在 iMC 或 头 端 上 查看 终端 E 下 行 速率 , 当 衰 减 正常 时 ,上 下 行 速率 有 异常 ,可 判断 品 
声 源 离 此 终端 较 近 ,可 从 此 终端 处 分 配器 开始 往 上 排查 。 

(c) 用 户 处 连接 不 建议 通过 二 分 配 连接 终端 和 电视 ; 建议 按照 Cable 口 连 接 用 户 总 进 线 ， 
TV 口 接 用 户 电视 机 ; 通过 内 部 的 高 通 模块 防止 TV 口 噪声 漏出 到 主线 路 上 影响 其 他 终端 ; 
用 户 处 终端 接线 完成 后 ,不 仅 需 要 测试 用 户 上 网 速率 ,还 应 检查 用 户 处 电视 节目 是 否 正常 。 


sK 
Eoc Z ip a £ L # É HE 
* x 


拨打 热线 
400-310-0504 A F E S 
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m= 终端 注册 不 a 
10 EPON_Eoc 产品 > oec Ó waza a 步骤 详解 


1. 开始 

EPCN 终端 注册 不 上 问题 的 原因 包含 硬件 .Cable 网 络 、 软 件 配置 等 ,所 以 定位 故障 的 思 
路 是 : 首先 观察 终端 各 指示 灯 状 态 .配合 蔡 换 法 逐步 排查 ,然后 检查 同 轴 网 络 的 连通 性 ,最 后 
再 检查 头 端的 特殊 配置 。 

2. 流程 图 相关 操作 说 明 

(1) 检查 终端 Power 灯 状 态 

终端 的 Power 灯 正 常情 况 下 处 于 常 亮 状态 ,如 果 不 是 说 明 电源 适配器 输出 问题 或 者 终端 
故障 。 

(2) 检查 电源 问题 

O 检查 终端 电源 接口 是 否 插 紧 ,是 否 正常 连接 。 

@ 检查 插 线 板 或 者 插座 是 否 已 经 通电 ,可 接 上 其 他 电器 设备 测试 验证 。 

@ 检查 插 线 板 或 者 插座 与 终端 电源 适配器 接触 是 否 良好 。 

@ 更 换 一 个 相同 型 号 的 终端 电源 适配器 观察 是 否 正常 。 

(3) 检查 终端 Diag 灯 状 态 

终端 上 电 后 ,Diag 灯 正 常情 况 下 处 于 熄灭 状态 。 

O 如 果 亮 一 会 后 自动 熄灭 ,说明 系统 正在 自 检 、 软 件 正在 自动 更 新 或 者 Cable 链 路 正在 
自 检 , 属 于 正常 情况 。 

@ 如 果 一 直 常 亮 或 者 闪烁 , 均 表示 终端 故障 ,建议 更 换 终 端 观察 。 

(4) 检查 终端 Cable 灯 状 态 

终端 的 Cable 灯 正 常情 况 下 处 于 常 亮 状态 。 

D 如 果 是 一 亮 一 灭 交 替 闪 烁 ,表示 终端 正在 与 头 端 建立 连接 。 

@ 如 果 常 亮 则 表示 终端 与 头 端 之 间 链 路 已 正常 建立 ,需要 查看 头 端 软件 配置 是 否 正确 。 

@ 如 果 不 亮 则 说 明 Cable 链 路 未 建立 连接 ,可 能 是 线路 不 通 、 链 路 衰减 过 大 或 终端 未 被 
授权 。 

(5) 检查 同 轴 分 配 网 连通 性 

D 在 终端 处 使 用 频谱 分 析 仪 或 者 扫 频 仪 测试 7.5 一 65MHz 频段 是 否 有 接收 到 头 端 发 出 
的 EOC 信号 ,或 者 使 用 信号 发 生 器 和 场 强 仪 测试 Cable 网 络 传输 7. 5 一 65MHz 的 低频 段 是 否 
IE. 

@ 使 用 频谱 分 析 仪 或 场 强 仪 测试 头 端 所 在 光 节 点 处 第 一 个 频道 所 处 电视 频 点 的 接收 功 
率 , 减 去 在 终端 处 测试 相同 频 点 所 得 的 接收 功率 值 , 得 出 Cable 网 络 衰减 大 小 ,检查 是 否 符合 
双向 网 改造 要 求 ( 推 荐 值 20 一 50dB) ,是 否 符合 Cable 网 络 设计 要 求 , 如 果 训 减 太 大 或 与 设计 
不 符 ,需要 调整 Cable 网 络 中 的 分 支 分 配器 、 重 做 Cable 线路 接头 、 下 移 光 节点 等 方式 解决 。 

(6) 检查 终端 授权 状态 

D 进入 头 端 设备 管理 界面 “Cable 管理 ”>“ 网 络 拓扑 ”, 正 常情 况 下 在 线 终端 的 链 路 状 
BERAY ; 确认 终端 MAC 对 应 的 链 路 状态 是 否 为 x ,说 明 该 终端 与 头 端 当 前 未 正常 建 
立 连接 ,如 图 10-18 所 示 。 
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娜 定 用 户 管理 匿名 用 户 管理 模板 管理 自动 升级 SNID 设 置 — _ 环 路 检测 功率 调整 


网 络 拓扑 
单 击 用 户 名 进入 该 用 户 配置 页 面 ， 在 该 页 面 中 对 设备 配置 进行 设置 。 


CableèkO Cablel ~ 


m um sm 


站 HELA ISEZIN Ë 
ma 
1 Cablel 0023-89CC-7540 集中 器 V100R001 y š% HA 管理 
3 Cablel 5866-BAF3-82DC CB303A V100R005 X  -— = = z = 


10-18 终端 MAC 对 应 的 链 路 状态 
© 选择 “Cable 管理 ”>“ 绑 定 用 户 管理 ”, 查 看 终端 是 否 被 管理 员 配 置 为 禁止 接 入 了 。 如 
该 终端 需要 被 授权 ,选中 MAC 地 址 前 面 的 复 选 框 后 单 击 “ 允 许 ” 按 钮 ,对 该 终端 进行 授权 配 
置 ,如 图 10-19 所 示 。 


九 定 用 户 管理 匿名 用 户 管理 模板 管理 自动 升级 SNID 设 置 环 路 检测 功率 调整 


BEAP 
本 页 面 对 已 绑 定 的 合法 用 户 进行 管理 ， 选 定 用 户 后 可 以 允许 或 禁止 接 入 。 
单 击 用 户 MAC 地 址 或 用 户 名 进入 该 用 户 配置 页 面 ， 在 该 页 面 中 对 终端 可 置 进行 设置 。 


查询 选项 meet 1 
RARA 
-BAF3- z rm 
= 5866-BAF3-82E0 EZEN 允许 


图 10-19 对 终端 进行 授权 配置 
(7) 检查 头 端 Cable 接口 配置 
O 进入 头 端 设备 管理 界面 "Cable 管理 ”网络 拓扑 ”, 查 看 页 面 是 否 提示 未 发 现 网 络 
拓扑 ,如 图 10-20 所 示 。 


| 网 络 拓扑 九 定 用 户 管理 匿名 用 户 管理 ARER 自动 升级 SNID 设 置 。_ 环 路 检测 


单 击 用 户 名 进入 该 用 户 配置 页 面 ， 在 该 页 面 中 对 设备 配置 进行 设置 


Cable O Tiet ~ 


ma! ETT 


图 10-20 未 发 现 网 络 拓扑 提示 


@ 进入 头 端 Web 管理 界面 ~“ 端口 管理 ”>“ 端 口 设 置 ”, 查 看 Cable 端口 状态 ,如 果 为 关 
闭 状态 ,需要 将 其 打开 ,如 图 10-21 所 示 。 

(8) 检查 头 端 对 终端 类 型 的 识别 情况 

O 进入 头 端 Web 管理 界面 >“Cable 网 络 拓扑 ”, 正 常情 况 下 头 端 能 够 显示 该 终端 的 具体 
型 号 ,如 CB303A ,查看 终端 的 类 型 是 否 无 法 正确 显示 或 者 显示 为 红色 ,说 明 该 终端 未 被 头 端 


E> EPON EoC 产品 1321 


LLL 端口 统计 RORE 风暴 抑制 流量 监控 


ET 开局/ 关闭 


Cablel AUTO/AUTO E 开启 
Cable2 1000/FULL AUTO/AUTO 0 开启 
Cable3 1000/FULL AUTO/AUTO 0 开启 
Cable4 1000/FULL AUTO/AUTO 0 开启 


10-21 Cable 端口 状态 


正常 识别 ,无 法 正常 开展 业务 ,如 图 10-22 所 示 。 


网 络 拓扑 
单 击 用 户 名 进入 该 用 户 配置 页 面 ， 在 该 页 面 中 对 设备 配置 进行 设置 。 


Cable Cala v 
查询 选项 JE 
an E E z 
1 Cablel 5866-BAF3-C8AF 集中 器 _ V100R002 y -- 

3 Cablel DC02-8EAA-EOFO 


5-1-5100 v == 


图 10-22 Cable 端口 类 型 
@ 检查 终端 类 型 管理 列表 ,确认 是 否 已 经 添加 了 该 终端 类 型 ,如 图 10-23 所 示 。 


本 页 面 对 已 支持 的 合法 终 油 类 型 进行 管理 ， 单 击 新 建 后 可 以 新 增 指 证 终 漠 类 型 进行 合法 支持 。 

mR a | 021648) [ Wm (EER ) 
Kur EEEE 
回 2 

CNU303-A -= 3 RTL8306 1-0, 2-1. 3-2 H3C-HP 
m CNU304-A 4 RTL8306 1-0, 2-1, 3-2, 4-3 H3C-HP 
m D101 加 桥 型 4 RTL8306 L0.2-L 32.43 cisco 
CT1000-402 ana 4 RTL8306 1-0, 2-1, 3-2, 4-3 DATANG 
m C104NU Ema 4 RTL8306 工 0.2-1. 3-2. 4-3 CHULING 
F HMD404T 4 AR8236 12, 2-3, 3-4, 4-5 B-STAR 

m HMD403T [E52 2 AR8236 12,23,34 B-STAR 
m HG7042T 4 RTL8306 工 3.2-2.3-1. 4-0 HUAWEI 
Y22411 mna 4 RTL8306 L0.2-1 3-2. 4-3 YONG 
GSD7411 EB62 4 RTL8306 1.0.2-1.3.2. 4-3 GAOSHIDA 


10-23 ”终端 类 型 管理 列表 


@ 如 果 终 端 是 非 H3C 设备 ,需要 先 升 级 头 端 至 支持 与 友 商 互联 互通 的 版 本 ,具体 版 本 请 
联系 H3C 呼叫 中 心 寻求 帮助 ,然后 在 终端 类 型 管理 页 面 单 击 “ 新 建 ” 进 入 “终端 类 型 信息 ”配置 
页 面 ,部 分 参数 如 终端 HFID、 交 换 芯 片 类 型 .端口 映射 关系 等 需要 联系 终端 厂家 获取 并 如 实 
填 入 ,如 图 10-24 所 示 。 
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终端 类 型 信息 


1~16 个 字符 ) 


0~63 个 字符 ) 


图 10-24 终端 类 型 信息 
成 功 添加 以 后 如 图 10-25 所 示 。 


| | 
终端 类 型 管理 
本 页 面 对 已 支持 的 合法 终端 类 型 进行 管理 ， 单 击 新 建 后 可 以 新 增 指 定 终 端 类 型 进行 合法 支持 。 
TAA EE ( 8 )[ mase ) 

端口 数量 | 交换 芯片 类 型 

CNU302-A [Eiin 2 RTL8306 工 0.2-1 H3C-HP 
m CNU303-A mma 3 RTL8306 1L0,2-1.3-2 H3C-HP 
CNU304-A mma 4 RIL8306 1-0, 2-1, 3-2, 4-3 H3C-HP 
回 D101 (ziir 4 RTL8306 1-0, 2-1, 3-2, 4-3 cisco 
m CT1000-402 anz 4 RTL8306 -0, 2-1, 3-2, 4- DATANG 
C104NU Em 4 RTL8306 1-0, 2-1, 3-2, 4-3 CHULING 
m HMD404T anz 4 AR8236 1-2, 2-3, 3-4, 4-5 B-STAR 
器 HMD403T Em 3 AR8236 12, 2-3,3-4 B-STAR 
HG7042T 362 4 RIL8306 = 4i HUAWEI 
m YT7411 Faz 4 RTL8306 1:0, 2-1, 3-2, 4-3 YITONG 
SSD7411 anz 4 RIL8306 1-0, 2-1, 3-2, 4-3 GAOSHIDA 


10-25 终端 类 型 管理 
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1. 开始 


EPCN 是 H3C 针对 广电 接 入 网 双向 改造 推出 的 技术 ,是 低频 EoC 技术 的 一 种 ,通过 广播 
电视 同 轴 网 共 缆 传输 电视 信号 和 EoC 数据 信号 。EoC 终端 配置 下 发 不 生效 问题 位 故障 的 思 
路 是 : 首先 判断 是 否 为 我 司 终端 ,如 果 是 非 我 司 终端 , 头 端 版 本 是 否 升级 到 支持 互联 互通 特性 
的 版 本 ,是 否 已 经 添加 了 此 新 终端 类 型 ,然后 再 检查 终端 配置 是 否 正确 ,检查 同 轴线 路 质量 ,最 
后 再 替换 终端 观察 。 


2. 流程 图 相关 操作 说 明 

(1) 检查 终端 是 否 为 我 司 设备 
检查 当前 配置 下 发 不 成 功 的 终端 是 否 为 我 司 设备 。 
(2) 检查 头 端 版 本 支持 互联 互通 


D 进入 头 端 设 备 Web 管理 界面 “Cable 管理 ”, 如 果 有 如 图 10-26 所 示 “ 终 端 类 型 管理 ” 


10.2.5 EoC 终端 配 


不 生效 故障 排查 


ETE N SREM 


设置 页 面 , 则 当前 版 本 已 经 支持 互联 互通 特性 ,如 果 没 有 , 则 需要 升级 版 本 。 


@ K 10-3 所 示 为 我 司 主要 头 端 开始 支持 互联 互通 特性 的 版 本 号 ,升级 至 以 下 版 本 及 以 


mananan mn. n 


JR — 


终端 类 型 管理 
本 页 面 对 已 支持 的 合法 终端 类 型 进行 管理 ， 单 击 “新 建 ”按钮 可 以 新 增 合法 的 终 凋 类 型 。 


[nno I] ](1~64 人 字符 ) Es eits ) 
终端 HFID ”终端 类 型 端口 数量 交换 芯片 类 型 
D101 pía 4 RTL8306 1-0, 2-1, 3-2, 4-3 LAKETUNE 
EN408E mia 4 RTL8306 1-0, 2-1, 3-2, 4-3 ZE 
CT1000-402 区 所 型 4 RTL8306 1-0, 2-1, 3-2, 4-3 DATANG 
C104NU ana 4 1-0, 2-1, 3-2, 4-3 
HMD404T [ziii 4 AR8236 1-2, 2-3, 3-4, 4-5 B-STAR 
HMD403T Em 3 AR8236 12, 2-3, 3-4 B-STAR 
HMD404 ana 4 AR8236 1-2, 2-3, 3-4, 4-5 B-STAR 
HMD403 ana 3 88E6061 1-0, 2-4, 3-1 B-STAR 
HMD402 Bm F] 88E6031 1-0, 2-4 B-STAR 
HG7042T Em 4 RTL8306 1-3, 2-2, 3-1, 4-0 HUAWEI 
Y77411 [En 4 RTL8306 1-0, 2-1, 3-2, 4-3 YITONG 
GSD7411 mna 4 RTL8306 1-0, 2-1, 3-2, 4-3 GAOSHIDA 
E330 [Ed 2 RTL8306 1-0, 2-1 cisco 
E330.2 Em 4 RTL8306 1-0, 2-1, 3-2, 4-3 asco 


Æ 10-26 “终端 类 型 管理 "页面 


后 的 版 本 都 支持 互联 互通 特性 ,不 在 列表 中 的 头 端 请 咨询 呼叫 中 心 确认 ! 
表 10-3 支持 互联 互通 特性 的 版 本 


头 端 型 号 版 本 头 端 型 号 版 本 
CC600E LEJ CC754 CC754E01106 
CC620E 暂 无 CC710E CC710E01103 
CC700E CC700EV100R005 CC712E CC712E01103 
CC720E CC720EV100R007 CC721E CC712E01103 
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@ 进入 头 端 设备 Web 管理 界面 “系统 管理 ”>“ 软 件 升 级 ”, 单 击 页 面 上 的 链接 ,如 
图 10-27 所 示 ,登录 H3C 公司 网 站 下 载 最 新 的 软件 版 本 ,保存 到 本 地 计算 机 。 


H3Q89 技 术 支持 网 站 上 提供 最 新 的 软件 版 本 ， 您 可 以 下 载 并 升级 设备 ,使 您 的 设备 更 稳定 并 能 获取 更 多 功能 % 
当前 软件 版 本 : 。 103 


软件 生成 日 期 : Thu Dec 26 16:12:42 2013 


请 选择 升级 文件 : 


BE. 


注意 : 
1. 您 要 在 浏览 窗口 的 文件 类 型 中 选择 “所 有 文件 ”才能 看 到 所 需 文件 。 
2. 单 击 以 上 芝 下 画 线 字体 进入 H3CR3 让 查看 并 下 载 最 新 版 本 。 


图 10-27 下 载 最 新 的 软件 版 本 


D 单 击 “ 浏 览 .…” 按 钮 在 本 机 上 选择 该 升级 版 本 文件 , 单 击 页 面 上 的 “确定 ”按钮 开始 升 


级 。 完 成 升级 后 ,设备 会 自动 重启 。 


@ 对 于 二 合 一 头 端 ,也 可 以 选择 将 版 本 上 传 到 我 司 OLT, 通 过 OLT 批量 升级 。 


(3) 检查 头 端 是 否 默认 支持 该 终端 类 型 


进入 头 端 设备 Web 管理 界面 “Cable 管理 ?一 "终端 类 型 管理 ,如 图 10-28 所 示 , 根 据 
HFID( 需 要 咨询 终端 厂家 获取 ,一 般 为 终端 型 号 ) 查 看 终端 类 型 默认 支持 列表 中 是 否 已 存在 


配置 下 发 不 生效 的 终端 类 型 。 
终端 HFID 终端 类 型 端口 数量 交换 芯片 类 型 端口 映射 
D101 ara 4 RTL8306 1-0, 2-1, 3-2, 4-3 LAKETUNE 
E EN408E ana 4 RTL8306 1-0, 2-1, 3-2, 4-3 ZTE 
CT1000-402 ana 4 RTL8306 1-0, 2-1, 3-2, 4-3 DATANG 
C104NU 加 本 型 4 RTL8306 1-0, 2-1, 3-2, 4-3 CHULING 
HMD404T aia 4 AR8236 1-2, 2-3, 3-4, 4-5 B-STAR 
HMD403T 加 本 型 3 AR8236 1-2, 2-3, 3-4 B-STAR 
HMD404 型 4 AR8236 1-2, 2-3, 3-4, 4-5 B-STAR 
m HMD403 ana Ei 88E6061 1-0, 2-4, 3-1 B-STAR 
HMD402 ana 2 88E6031 1-0, 2-4 B-STAR 
HG7042T aia 4 RTL8306 1-3, 2-2, 3-1, 4-0 HUAWEI 
Y17411 ana 4 RTL8306 1-0, 2-1, 3-2, 4-3 YITONG 
SSD7411 Bm 4 RTL8306 1-0, 2-1, 3-2, 4-3 GAOSHIDA 
E330 anz 2 RTL8306 1-0, 2-1 cisco 
E330.2 回覆 型 4 RTL8306 1-0, 2-1, 3-2, 4-3 cisco 
PT1Q115 加 本 型 4 RTL8306 1-0, 2-1, 3-2, 4-3 SVA 
E T52X4E-O aig 4 RTL8306 1-3, 2-2, 3-1, 4-0 YUNSHI 
ECM201 miia 1 = = -- 
C214NU 网 桥 型 4 RTL8306 1-0, 2-1, 3-2, 4-3 HUAGUANG 
HG-AU204 Fitim 4 RTL8306 1-3, 2-2, 3-1, 4-0 HUAGUANG 


图 10-28 终端 类 型 管理 


(4) 确认 终端 符合 互联 互通 对 接 要 求 
我 司 头 端 互联 互通 特性 支持 的 终端 需要 符合 如 下 要 求 。 


O 终端 EoC 芯片 需要 为 Intellon 6400 系列 或 AR7400 系列 芯片 。 


© 只 支持 一 个 以 太 网 口 的 友 商 终端 ,或 者 支持 多 个 以 太 网 口 的 终端 ,但 所 使 用 的 交换 蕊 


片 需 为 RTL8306、AR8236、88E6061、88E6031 中 的 一 种 。 
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© 友 商 终端 为 网 桥 型 终端 ,网 关 型 终端 待 后 续 版 本 支持 ,请 关注 H3C 官方 网 站 的 正式 版 
本 发 布 情况 及 其 说 明 书 。 

(5) 添加 新 终端 类 型 参数 

进入 头 端 设备 Web 管理 界面 “Cable 管理 ”>“ 终 端 类 型 管理 ”, 单 击 “ 新 建 " 按 钮 , 逐 项 
添加 配置 项 ,完成 后 单 击 “ 确 认 ” 按 钮 并 保存 头 端 配置 。 对 于 HFID, 终端 类 型 ,交换 芯片 类 型 、 


端口 映射 关系 参数 均 需要 终端 厂商 提供 ,请 确认 后 


填 和 人 ,否则 可 能 出 现 配置 下 发 不 生效 的 问题 。 proren ONAN Fe 
例如 ,华为 的 某 个 终端 HFID 为 HG7042T, 终 sme huwa Jonge) 
WA HRR, RA 1 RA 4 0 4828 eea [na e 
类 型 为 RTL8306 ,端口 映射 关系 为 端口 1 对 应 交 #08 R E 
换 芯片 接口 3, 端口 2 对 应 交换 芯片 接口 2, 端 D3 ann amas 
对 应 交换 芯片 接口 1, 端 口 4 对 应 交换 芯片 接口 0; WE = 
配置 如 图 10-29 所 示 。 端 D3: fi 
(6) 检查 配置 正确 性 W04: 0 
进入 头 端 设备 Web 管理 界面 一 “高 级 管理 ”一 mi 83285 
“LOG 设置 ">“ 日 志 信息 ”, 查 看 头 端 日 志 , 是 否 存 
在 配置 下 发 成 功 或 者 失败 的 告警 。 


UPDATE_CFG: The switch configuration of CNU (5866-baf3-82e0) was updated successfully. 
UPDATE_CFG: The switch configuration of CNU (5866-baf3-82e0) was updatedfailed . 


O 如 果 提示 终端 配置 下 发 成 功 ,但 配置 未 按 要 求生 效 , 即 上 网 或 者 IP TV 还 是 不 通 , 则 按 
如 下 步骤 检查 。 

(a) 检查 终端 类 型 管理 中 的 端口 映射 顺序 配置 是 否 填 反 ,端口 数量 是 否 填 错 。 

(b) 检查 终端 模板 配置 是 否 按 规划 填 人 ,MAC 地 址 个 数 限制 是 否 为 默认 配置 。 

(c) 检查 终端 是 否 错误 绑 定 了 其 他 模板 。 

(d) 检查 头 端 VLAN 配置 ,如 果 是 802. 1Q VLAN 模式 ,确认 头 端 是 否 创建 了 业务 
VLAN, 上 行 口 是 否 允许 业务 VLAN 通过 。 

(e) 检查 头 端 接口 和 物理 线路 连接 是 否 存在 问题 。 

© 如 果 提 示 终 端 配置 下 发 失败 或 终端 接 人 后 长 时 间 无 此 提示 , 则 按 如 下 步骤 检查 。 

(a) 检查 终端 类 型 管理 中 的 终端 类 型 配置 是 否 选 错 ,终端 交换 芯片 型 号 当前 头 端 版 本 是 否 
支持 ,通过 查看 终端 类 型 管理 配置 中 的 交换 芯片 选项 可 确认 ,不 在 下 拉 框 中 即 为 不 支持 的 型 号 。 

(b) 检查 终端 连接 状态 当前 是 否 处 于 “ X ”离线 状态 。 

(c) 检查 终端 是 否 存在 环 路 ,可 开启 头 端 环 路 检测 确认 。 

(d) 检查 终端 版 本 是 否 与 头 端 版 本 配套 ,配套 关系 参见 头 端 版 本 说 明 书 , 头 端 无 法 显示 终 
端 版 本 号 等 终端 注册 不 上 问题 参见 男 一 云图 (EoC 终端 注册 不 上 故障 排查 》。 

(e) 如 果 是 通过 网 管 下 发 ,通过 ping 头 端 管理 地 址 检查 链 路 连通 性 ,并 检查 头 端 的 
SNMP 配置 是 否 正确 。 

(7) 检查 同 轴线 路 质量 

O 同 轴 网 检查 步 又 。 

第 一 ,检查 头 端 是 否 存在 线路 质量 告警 信息 。 
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(a) 进入 头 端 设备 Web 管理 界面 ~“ 高 级 管理 ”>“LOG 设置 ?一 日 志 信息 ”, 查 看 头 端 日 
志 , 是 否 存在 上 下 行 速率 较 大 波动 的 告警 ,说 明 同 轴线 路 存在 噪声 等 干扰 。 


%Jan 6 04:57:16 1970 H3C ACMP/3/TX_RATE_ERR: The TX| 
rate drop of CNU (3822-d6c2-d61e) turns into 95, which is under the 
minimal threshold(50) . 
%Jan 6 04:57:16 1970 H3C ACMP/3/RX_RATE_ERR: The RX| 
rate drop of CNU (3822-d6c2-d61e) turns into 65, which is under the 
minimal threshold(50) . 


(b) 进入 头 端 设 备 Web 管理 界面 “Cable 管理 ”一 “网 络 拓 
扑 ”, 不 断 刷新 Cable 状态 查看 终端 上 下 行 速 率 和 终端 衰减 ,是 否 存 
在 低 于 告警 门限 值 ,状态 为 黄 、 红 色 特别 是 红色 的 情况 ,如 图 10-30 
所 示 。 当 衰减 正常 时 ,上 下 行 速 率 有 异常 ,可 判断 噪声 源 离 此 终端 


较 近 ,可 从 此 终端 处 分 配器 开始 往 上 级 排查 。 图 10-30 上 下 行 速率 和 
最 佳 情况 参考 如 表 10-4 所 示 。 终端 衰减 情况 
表 10-4 头 端 十 终端 组 网 最 佳 情况 

头 端 十 终端 组 网 情况 衰减 (dB) 上 下 行 速率 (Mbps) 
CC6XX 头 端 十 CB2XX 终端 >10,<60 >100,<160 
CC6XX 头 端 十 CB3XX 终端 >10,<60 2>>100,<160 
CC7XX 头 端 十 CB2XX 终端 >10,<55 二 100, 一 160 
CC7XX 头 端 十 CB3XX 终端 >10,<55 >400,<460 


(c) 进入 头 端 设备 Web 管理 界面 “Cable 管理 ”一 单 击 终端 列表 中 的 “管理 ”链接 一 “ 链 
路 状态 ”, 目 标 方向 选择 一 个 终端 MAC 地 址 , 单 击 “ 获 取信 息 ” 按 钮 ,查看 该 终端 与 头 端 之 前 的 
链 路 质量 情况 ,重点 关注 平均 Pre-FEC 比特 错误 率 ( 正 常 值 小 于 10%)、 平 均 Bits/Carrier( 正 
常 值 范围 在 4 一 10) ,平均 SNR/Carrier 参数 (正常 值 大 于 15dB, 小 于 30dB 时 ,该 信道 的 传输 
效率 就 能 达到 满 效 率 传输 ) 。 详 细 参 数 说 明 请 参考 各 产品 的 (XXX 产 品 用 户 手 册 》, 截 图 
如 图 10-31 所 示 o 


链 路 信息 


目标 方向 : [0023-890c-9203 x] 
平均 Pre-FEC 比特 错误 率 : 

平均 Bits/Carrier': 

平均 SNR/Carrier: 

平均 发 送 PB CRC HRE: 

平均 接收 PB CRC 措 误 率 : 

FARW: 

平均 输出 功率 : 

发 送 成 功 的 MPDU 报 文 个 数 : 

发 送 失败 的 MPDU 报 文 个 数 : 0 
发 送 时 冲突 的 MPDU 报 文 个 数 : 45 
按 收 成 功 的 MPDU 报 文 个 洲 : 2411 
接收 失败 的 MPDU 报 文 个 数 : 0 


当前 配置 的 设备 : 0023-8910-E08D 
当前 设备 的 类 型 : CB303A 


10-31 终端 与 头 端 之 前 的 链 路 质量 情况 
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第 二 , 同 轴 网 线路 必须 严格 按照 (H3C EPCN 工程 安装 指导 }》 的 要 求 检查 工程 实施 质量 ， 
如 存在 放大 器 , 则 需要 对 EoC 信和 号 覆盖 的 所 有 放大 器 使 用 低 通 旁 路 器 进行 跨 接 ,或 对 放大 器 
内 部 做 改造 。 

第 三 ,查看 广电 机 箱 内 ,各 设备 分支 器 、 分 配器 等 的 Cable 口 是 否 连接 紧密 ,是 否 存在 
Cable 接口 松动 ,屏蔽 层 和 内 芯 铜 线 是 否 有 搭 接 或 屏蔽 层 和 固定 头 是 否 未 接触 (这 样 就 起 不 到 
屏蔽 的 作用 ) ,建议 可 以 对 部 分 不 好 的 接头 重新 制作 。 另 外 ,检查 光 机 、 头 端 \ 机 箱 等 是 否 已 按 
要 求 严格 接地 。 

第 四 ,查看 线路 排 布 ,检查 线路 是 否 有 破损 ,是 否 与 多 根 电源 线 捆绑 ,同时 观察 走 线 是 否 存 
在 可 见 的 强 干扰 源 (类 似 于 高 压 线 、 变 电站 等 ) ,用 户 侧 还 需要 检查 设备 位 置 周边 是 否 摆 放 有 高 
功率 家 用 电器 等 。 确 认 现 场 走 线 不 存在 强 干 扰 源 。 

第 五 ,运用 可 测试 低频 信和 号 的 频谱 仪 场 强 仪 .手持 式 EPCN 测试 仪 等 ,或 手持 我 司 终端 
(电源 可 用 干电池 制作 出 DC 9V 的 电源 ) 等 方式 分 级 排查 ,上 行 速率 低 就 从 终端 人 户 线路 开始 
测试 ,下 行 速率 低 就 从 头 端 光 节点 处 开始 , 断 开 各 分 支 分 配器 上 的 Cable 口 ,测试 线路 上 低频 
Et 1 一 86MHz 的 噪声 情况 ,线路 底 噪 需要 小 于 35dB。 

如 图 10-32 所 示 ,线路 中 存在 全 频段 噪声 干扰 ,需要 逐 级 确认 并 排除 噪声 源 ,详细 排查 步 
又 可 参考 4H3C 广电 EPCN 噪声 排查 指导 书 V1. 1. docx). 


图 10-32 全 频段 噪声 干扰 


@ 噪声 解决 建议 。 

(a) 增强 EoC 信和 号 强度 。 

第 一 , 光 节 点 下 移 , 通 过 将 光 节 点 下 移 到 楼 道 ,减少 野外 分 支 分 配 网 中 噪声 干扰 , 拉 近 头 端 
到 终端 的 距离 。 

第 二 ,增加 光 节 点 下 头 端 数量 ,用 一 路 头 端 带 一 个 混合 器 ,提高 头 端 和 终端 接收 信号 强度 。 

第 三 ,尽量 采取 星 形 分 配 组 网 , 串 接 分 支 器 尽量 少 ,减少 树 形 组 网 中 分 支 器 的 衰减 。 

第 四 ,减少 EoC 用 户 同 轴 分 配 网 中 分 支 分 配器 和 接头 的 数量 ,减少 EoC 信号 的 插入 损耗 。 

(b) 屏蔽 噪声 源 。 

第 一 ,对 噪声 源 采用 高 通 滤 波 器 过 滤 。 

第 二 , 移 除 或 避 开 怀疑 的 干扰 源 如 强 功率 电器 、 变 电站 等 。 

第 三 ,Cable 线 缆 与 电源 走 线 隔离 开 。 

第 四 , 光 机 、 头 端 机 箱 等 按 要 求 严格 接地 。 

第 五 ,用 户 处 连接 不 建议 通过 二 分 配 连接 终端 和 电视 ; 建议 按照 Cable 口 连接 用 户 总 进 
RTV 口 接 用 户 电视 机 ; 通过 内 部 的 高 通 模块 防止 TV 口 噪声 漏出 到 主线 路 上 影响 其 他 终 
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端 ; 用 户 处 终端 接线 完成 后 ,不 仅 需 要 测试 用 户 上 网 速率 ,还 应 检查 用 户 处 电视 节目 是 否 
正常 。 

(8) 替换 终端 观察 

O 如 果 经 过 上 述 步 又 排查 故障 依旧 ,可 尝试 更 换 一 个 新 终端 观察 ,排除 终端 单 台 故障 
原因 。 

© 如 果 依 旧 无 法 解决 ,请 参考 4H3C EPCN 产品 一 般 故 障 信息 收集 方法 . pdf》 准 备 好 头 端 
诊断 信息 、 配 置 .日 志 、 上 述 步骤 排查 时 收集 的 信息 和 详细 故障 描述 ,拨打 H3C 呼叫 中 心 热线 
电话 寻求 帮助 。 


后 w 


伴随 着 时 代 的 快速 发 展 ,IT 技术 已 经 与 人 们 的 日 常生 活 密 不 可 分 ,在 越 来 越 多 的 人 依托 
网 络 进行 沟通 的 同时 ,IT 技术 本 身 也 演变 成 了 服务 .需求 的 创造 和 消费 平台 ,这 种 新 的 平台 
渐 创造 了 一 种 新 的 生产 力 ,一 股 新 的 力量 。 

新 华 三 集团 (简称 新 华 三 ) 是 全 球 领先 的 新 IT 解决 方案 领导 者 ,致力 于 新 IT 解决 方案 和 
产品 的 研发 .生产 .咨询 .销售 及 服务 。 以 技术 创新 为 核心 引擎 ,新 华 三 50% 的 员工 为 研发 人 
员 ,专利 申请 总 量 超过 6 800 件 , 其 中 90% 以 上 是 发 明 专利 。2015 年 新 华 三 申请 专利 841 件 
平均 每 个 工作 日 超过 3 件 。 

为 了 使 广大 网 络 产品 使 用 者 和 网 络 技术 爱好 者 能 够 更 好 地 掌握 新 华 三 相关 产品 技术 ,新 
华 三 集团 相关 部 门人 员 开 发 了 大 量 的 技术 资料 ,详细 地 介绍 了 相关 知识 。 这 些 技术 资料 大 部 
分 是 公开 的 ,在 新 华 三 集团 的 官方 网 站 (http://www. h3c. com/cn/) 上 都 能 看 到 并 下 载 。 

但 是 ,在 传统 的 纸 质 媒介 仍 占 重要 地 位 的 今天 ,许多 合作 伙伴 和 学 校 、. 机 构 、 网 络 技术 爱好 
者 都 希望 新 华 三 集团 能 够 正式 出 版 其 技术 资料 ,包括 网 络 学 院 教材 .产品 配置 手册 、 典 型 配置 
案例 ,行业 解决 方案 等 。 作 为 国内 IT 领域 技术 和 设备 制造 的 领导 者 ,新华 三 集团 深 感 自身 责 
任 重 大 ,责无旁贷 。 

2004 4 10 月份, 新 华 三 集团 的 前 身 一 一 杭州 华 三 通信 技术 有 限 公 司 ( 简 称 华 三 ) 出 版 了 
自己 的 第 一 本 网 络 学 院 教材 ,开创 了 业界 相关 培训 教材 正式 出 版 的 先河 , 极 大 地 推动 了 IT 技 
术 在 业界 的 普及 。 在 后 续 的 几 年 间 , 华 三 公司 陆续 出 版 了 《IPv6 技术 》( 第 二 版 )《 路 由 交换 技 
RE 1 卷 》《 路 由 交换 技术 第 2 卷 )《 路 由 交换 技术 第 3 卷 )《 路 由 交换 技术 第 4 卷 ) 等 网 络 学 
院 教材 系列 书籍 ,以 及 《 H3C 以 太 网 交换 机 典型 配置 指导 》《H3C 路 由 器 典型 配置 指导 ) 等 网 
络 学 院 参 考 书 系列 书籍 . 极 大 的 推动 了 IT 技术 在 网 络 学 院 和 网 络 技术 业界 的 普及 。 

《 根 叔 的 云图 一 一 网 络 故障 大 排查 )》 是 新 华 三 集团 所 推出 的 网 络 学 院 教材 中 的 重要 一 本 ， 
其 集中 了 新 华 三 集团 内 上 百 位 专家 十 多 年 工作 的 经 验 , 开 创 了 类 似 书籍 的 先河 。 

新 华 三 集团 希望 通过 这 种 形式 ,探索 出 一 条 理论 和 实践 相 结 合 的 教育 方法 ,顺应 国家 提倡 
的 “学 以 致 用 .工学 结合 ”教育 方向 ,培养 更 多 实用 型 的 IT 技术 人 员 。 

希望 在 IT 技术 领域 ,这 一 系列 教材 能 成 为 一 股 新 的 力量 ,回馈 广大 IT 技术 爱好 者 ,为 推 
进 中 国 IT 技术 发 展 尽 绵薄 之 力 ,同时 也 希望 读者 对 我 们 提出 宝贵 的 意见 。 


新 华 三 大 学 培训 开发 委员 会 
2016 Æ 11 月 


